Harbor证书生产

概念

  Harbor是一个企业级的容器镜像仓库，它提供了镜像的存储、管理、分发、安全扫描等一系列功能。

  1、证书签发

     （1）创建存放证书的目录：

    makdir -p /data/ssl

    cd /data/ssl/

     （2）生成CA证书私钥。

openssl genrsa -out ca.key 4096

            生成CA证书

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=MyPersonal Root CA" \
 -key ca.key \
 -out ca.crt

       （3）生成服务器证书

openssl genrsa -out yourdomain.com.key 4096

             生成证书签名请求 (CSR)

调整选项中的值-subj以反映您的组织。如果您使用 FQDN 连接 Harbor 主机，则必须将其指定为通用名称 ( CN) 属性，并在密钥和 CSR 文件名中使用它。

openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
    -key yourdomain.com.key \
    -out yourdomain.com.csr

             生成 x509 v3 扩展文件。

 无论您使用 FQDN 还是 IP 地址连接到 Harbor 主机，都必须创建此文件，以便为 Harbor 主机生成符合主题备用名称 (SAN) 和 x509 v3 扩展要求的证书。替换条目DNS以反映您的域

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
EOF

       4、使用该v3.ext文件为您的 Harbor 主机生成证书。

 yourdomain.com将CSR 和 CRT 文件名中的替换为 Harbor 主机名。

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in yourdomain.com.csr \
    -out yourdomain.com.crt

参看文档https://goharbor.io/docs/2.11.0/install-config/configure-https/