配置对Harbor的HTTPS访问

https://goharbor.io/docs/1.10/install-config/configure-https/

默认情况下，Harbor不提供证书。可以在没有安全性的情况下部署Harbor，这样您就可以通过HTTP连接到它。但是，只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中，始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名，则必须使用HTTPS。

要配置HTTPS，必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA，以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序，例如:Let’s Encrypt。

下面的过程假设您的Harbor注册表的主机名是yourdomain.com，并且它的DNS记录指向运行Harbor的主机。

1、生成证书颁发机构的证书

在生产环境中，应该从CA获取证书。在测试或开发环境中，可以生成自己的CA。若要生成CA证书，请运行以下命令。

1、生成CA证书私钥。

?

1	openssl genrsa -out ca.key 4096

2、生成CA证书。 

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为common name（CN）属性。

?

1 2 3 4 5

公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。    例1：打算为“chinassl.net”申请SSL证 书，那这个公用名(Common Name)就要填写“chinassl.net”，而不能填写 “www.chinassl.net”，因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名；    例2：如将要为bill.chinassl.net申请SSL证书，那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”

 

?

1 2 3 4

openssl req -x509 -new -nodes -sha512 -days 3650 \  -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \  -key ca.key \  -out ca.crt

 

3、生成服务器证书

证书通常包含.crt文件和.key文件，例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。

?

1	openssl genrsa -out yourdomain.com.key 4096

 2、生成证书签名请求（CSR）。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为common name（CN）属性，并在key和CSR文件名中使用它。

?

1 2 3 4

openssl req -sha512 -new \     -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \     -key yourdomain.com.key \     -out yourdomain.com.csr

 3、生成x509 v3扩展文件。

无论您是使用FQDN还是使用IP地址连接到您的Harbor主机，都必须创建此文件，以便您可以为Harbor主机生成符合使用者替代名称（SAN）和x509 v3扩展要求的证书。替换DNS条目以反映您的域。

?

1 2 3 4 5 6 7 8 9 10 11 12

cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names   [alt_names] DNS.1=yourdomain.com DNS.2=yourdomain DNS.3=hostname EOF

 4、

使用v3.ext文件为您的港口主机生成证书。

将CRS和CRT文件名中的yourdomain.com替换为Harbor主机名。

?

1 2 3 4 5

openssl x509 -req -sha512 -days 3650 \     -extfile v3.ext \     -CA ca.crt -CAkey ca.key -CAcreateserial \     -in yourdomain.com.csr \     -out yourdomain.com.crt

 

4、向Harbor和Docker提供证书

生成ca.crt、yourdomain.com.crt和yourdomain.com.key文件后，必须将它们提供给Harbor和Docker，并重新配置Harbor以使用它们。

1、将服务器证书和密钥复制到Harbor主机上的certcificates文件夹中。

?

1 2	cp yourdomain.com.crt /data/cert/ cp yourdomain.com.key /data/cert/

 2、将yourdomain.com.crt转换为yourdomain.com.cert，供Docker使用。

Docker守护进程将.crt文件解释为CA证书，.cert文件解释为客户端证书。

?

1	openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert

 3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。

?

1 2 3

cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/ cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/ cp ca.crt /etc/docker/certs.d/yourdomain.com/

 如果将默认nginx端口443映射到其他端口，请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。

4、重新启动Docker引擎。

?

1	systemctl restart docker

您可能还需要在操作系统级别信任证书。有关详细信息，请参阅harbor安装疑难解答。

下面的示例演示了使用自定义证书的配置。

?

1 2 3 4 5

/etc/docker/certs.d/     └── yourdomain.com:port        ├── yourdomain.com.cert  <-- Server certificate signed by CA        ├── yourdomain.com.key   <-- Server key signed by CA        └── ca.crt               <-- Certificate authority that signed the registry certificate

 

5、部署或重新配置harbor

 

如果尚未部署Harbor，请参阅配置Harbor YML文件，以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。

如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS，请执行以下步骤。

1、运行prepare脚本以启用HTTPS。

Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare位于Harbor安装包中，与install.sh脚本处于同一级别。

?

1

./prepare

 

2、如果Harbor正在运行，请停止并删除现有实例。

images数据保留在文件系统中，因此不会丢失任何数据。

?

1	docker-compose down -v

 

3、Restart Harbor:

?

1	docker-compose up -d

 

6、验证HTTPS连接

在为Harbor设置HTTPS之后，您可以通过执行以下步骤来验证HTTPS连接。

 

1、打开浏览器并输入https://yourdomain.com。它应该显示港口界面。

某些浏览器可能会显示一条警告，指出证书颁发机构（CA）未知。使用非来自可信第三方CA的自签名CA时会发生这种情况。您可以将CA导入浏览器以删除警告。

2、在运行Docker守护进程的计算机上，检查/etc/Docker/daemon.json文件，确保没有为https://yourdomain.com设置-unsecure-registry选项。

3、从Docker客户端登录到Harbor。

?

1	docker login yourdomain.com

 如果您已经将nginx 443端口映射到另一个端口，请在login命令中添加该端口。

?

1	docker login yourdomain.com:port

 

下一步怎么办

如果验证成功，请参阅“港口管理”以获取有关使用“港口”的信息。

如果安装失败，请参阅海港安装疑难解答。