前面说了怎么搭建harbor仓库,这里讲一讲harbor实现https访问,因为只需要内网访问,没必要去申请一个ssl证书,所以我就用openssl
颁发自签名证书,实现https访问。需要搭建一个dns服务器,让你的域名解析到你的harbo地址,具体教程,请看我上一篇的博客。
在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢?
所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点:
使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书包含三个文件:key,csr,crt。
首先创建证书存放目录:
➜ mkdir -p /data/cert && cd /data/cert
创建 CA 根证书
➜ openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt -subj "/C=CN/L=zhejiang/O=lisea/CN=harbor-registry"
生成一个证书签名, 设置访问域名为 kevinharbor.com
➜ openssl req -newkey rsa:4096 -nodes -sha256 -keyout kevinharbor.com.key -out server.csr -subj "/C=CN/L=zhejiang/O=lisea/CN=kevinharbor.com"
生成主机的证书
➜ openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kevinharbor.com.crt
然后进入harbor安装目录修改harbor.cfg
,修改下面几个选项
重启服务
➜ sudo ./prepare
➜ docker-compose down -v
➜ docker-compose up -d
然后打开链接https://kevinharbor.com
浏览器可能会提示不安全的证书,这是因为我们是自己当CA机构,所以浏览器会不信任。添加信任就好