Harbor1.5.0配置https-创新互联
安装harbor
建网站原本是网站策划师、网络程序员、网页设计师等,应用各种网络程序开发技术和网页设计技术配合操作的协同工作。成都创新互联公司专业提供成都网站设计、成都网站制作,网页设计,网站制作(企业站、响应式网站建设、电商门户网站)等服务,从网站深度策划、搜索引擎友好度优化到用户体验的提升,我们力求做到极致!创建证书
mkdir-p /data/cert
cd /data/cert
私有证书
#生成一个私有证书
openssl req -newkey rsa:4096 -nodes-sha256-keyout ca.key -x509-days365-out ca.crt
# openssl req作用生成证书请求文件、验证证书请求文件和创建根CA。
# -newkey args :创建一个新的证书请求,并创建私钥。args的格式是"rsa:bits",其中bits是rsa密钥的长度,如果bits省略了(即-newkey rsa),则长度默认该值为2048。
# -nodes:默认情况下,openssl req自动创建私钥时都要求加密并提示输入加密密码,指定该选项后则禁止对私钥文件加密。
# -keyout filename:指定自动创建私钥时私钥的存放位置。
# -sha256:指定对创建请求时提供的申请者信息进行数字签名时的单向加密算法。
# -x509 :指定该选项时,将生成一个自签署证书,而不是创建证书请求。一般用于测试或者为根CA创建自签名证书。
# -days n :指定自签名证书的有效期限,默认30天,需要和"-x509"一起使用。
# -out filename:证书请求或自签署证书的输出文件。
公有证书
# 生成证书请求文件、验证证书请求文件和创建根CA,实现IP注册主机证书!
openssl genrsa -out server.key 4096
openssl req -new-key server.key -subj"/CN=192.168.50.12"-out server.csr
echo subjectAltName = IP:192.168.50.12 >extfile.cnf
openssl x509 -req-days365-in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial-extfile extfile.cnf -out server.crt
# -subj args :替换或自定义证书请求时需要输入的信息,并输出修改后的请求信息。args的格式为"/type0=value0/type1=value1...",CN一般是证书注册机构名称。
# subjectAltName:使用者备用名称。
编辑harbor配置文件
访问协议。默认是http,如果搭建https的仓库就改为https。
ui_url_protocol = https
使用docker,从 harbor 私有仓库拉取镜像harbor服务器本地登陆常见登陆harbor报错如下:
报错1:Error response from daemon: Get : x509: certificate signed by unknown authority
报错2:Error response from daemon: Get : dial tcp 192.168.156.102:443: connect: connection refused
报错1解决方式centos7系统以上报错的原因是因为自签的证书没有加入到系统级别信任,只需要将.crt拷贝到/etc/pki/ca-trust/source/anchors/reg.名称.crt,然后需要执行命令update-ca-trust,最后重启harbor和docker即可!
ubunt16.04系统以上报错的原因是因为自签的证书没有加入到系统级别信任,只需要将.crt拷贝到/usr/local/share/ca-certificates/reg.名称.crt,然后执行命令update-ca-certificates,最后重启harbor和docker即可!
报错2解决方式
添加daemon.json
客户端将证书追加到自己的ca-bundle.crt认证文件中cat server.crt >>/etc/pki/tls/certs/ca-bundle.crt
添加daemon.json
使用Containerd,从 harbor 私有仓库拉取镜像vim /etc/containerd/config.toml
[plugins."io.containerd.grpc.v1.cri".registry]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.50.80"]
endpoint = ["https://192.168.50.80"]
[plugins."io.containerd.grpc.v1.cri".registry.configs]
[plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.50.80".tls]
insecure_skip_verify = false
ca_file = "/etc/containerd/cert/ca.crt"
[plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.50.80".auth]
username = "admin"
password = "123456"
添加公共证书
mv server.crt /etc/containerd/cert/ca.crt
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
名称栏目:Harbor1.5.0配置https-创新互联
文章转载:http://ybzwz.com/article/iigoc.html