转自:https://www.cnblogs.com/Rcsec/p/8479728.html

1 .签名证书与自签名证书

  签名证书:由权威颁发机构颁发给服务器或者个人用于证明自己身份的东西。

  自签名证书:由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布。

2. openssl简介

  openssl 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

3. KEY与CSR的区别

  Key通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER。证书自身拥有一个密钥对(即一个公钥和一个私钥),由公钥(Public Key)与私钥(Private Key)是通过一种算法得到,公钥是密钥对中公开的部分,私钥则是非公开的部分。一般公钥和密钥的关系为:1,公钥和私钥成对出现、2,公开的密钥叫公钥,只有自己知道的叫私钥、3,用公钥加密的数据只有对应的私钥可以解密、4,用私钥加密的数据只有对应的公钥可以解密、5,如果可以用公钥解密,则必然是对应的私钥加的密、6,如果可以用私钥解密,则必然是对应的公钥加的密。

  CSR文件必须在申请和购买SSL证书之前创建。也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请 者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

4. 证书配置之生成根证书

创建证书存放目录:

  1. mkdir -p /data/cert && cd /data/cert

4.1创建自己的CA证书(不使用第三方权威机构的CA来认证,自己充当CA的角色)

  1. openssl genrsa -out ca.key    #生成根证书私钥(无加密)

4.2生成自签名证书(使用已有私钥ca.key自行签发根证书)

  1. openssl req -x509 -new -nodes -key ca.key -days  -out ca.crt -subj "/CN=Harbor-ca"
  2.  
  3. req     产生证书签发申请命令
  4. -x509   签发X.509格式证书命令。X.509是最通用的一种签名证书格式。
  5. -new    生成证书请求
  6. -key     指定私钥文件
  7. -nodes   表示私钥不加密
  8. -out    输出
  9. -subj    指定用户信息
  10. -days    有效期

5 .证书配置之生成服务器端证书

5.1生成服务器端私钥和CSR签名请求

  1. openssl req -newkey rsa: -nodes -sha256 -keyout server.key -out server.csr

注意:一路回车。。。

5.2签发服务器证书

  1. echo subjectAltName = IP:192.168.3.135 > extfile.cnf
  2. openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days  -extfile extfile.cnf -out server.crt
  3.  x509           签发X.509格式证书命令。
  4.  -req           表示证书输入请求。
  5.  -days          表示有效天数
  6.  -extensions    表示按OpenSSL配置文件v3_req项添加扩展。
  7.  -CA            表示CA证书,这里为ca.crt
  8.  -CAkey         表示CA证书密钥,这里为ca.key
  9.  -CAcreateserial表示创建CA证书序列号
  10.  -extfile      指定文件

6. 修改hardor的配置文件hardor.yml

更新主机名和协议

  1.  #set主机名
  2.   hostname = 192.168.88.128
  3.  #set ui_url_protocol
  4.   ui_url_protocol = https

7. 设置docker证书

  1. # 如果如下目录不存在,请创建,如果有域名请按此格式依次创建
  2. mkdir -p /etc/docker/certs.d/192.168.3.135
  3. # mkdir -p /etc/docker/certs.d/[IP2]
  4. # mkdir -p /etc/docker/certs.d/[example1.com]
  5. # 如果端口为443,则不需要指定。如果为自定义端口,请指定端口
  6. # /etc/docker/certs.d/yourdomain.com:port
  7.  
  8. # 将ca根证书依次复制到上述创建的目录中
  9. cp ca.crt /etc/docker/certs.d/192.168.3.135/

8. 为Harbor生成配置文件

  1. #首先重启下docker
  2. systemctl  restart docker
  3. #为Harbor生成配置文件
  4. ./prepare

9.完成启动Harbor

  1. docker-compose up -d

10.登陆Harbor

(五)VMware Harbor 部署之SSL的更多相关文章

  1. harbor部署之SSL

    harbor部署之SSL 1 签名证书与自签名证书 签名证书:由权威颁发机构颁发给服务器或者个人用于证明自己身份的东西. 自签名证书:由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布 ...

  2. 三、harbor部署之SSL

    1 签名证书与自签名证书 签名证书:由权威颁发机构颁发给服务器或者个人用于证明自己身份的东西. 自签名证书:由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布. 2 openssl简介 ...

  3. docker 镜像仓库 Harbor 部署 以及 跨数据复制

    docker 镜像仓库 Harbor 部署 跨数据复制 Harbor 是 Vmwar 公司开源的 企业级的 Docker Registry 管理项目 它主要 提供 Dcoker Registry 管理 ...

  4. docker 系列 - 企业级私有镜像仓库Harbor部署(转载)

     本文转载自 搜云库 的文章 https://www.jianshu.com/p/7d76850de03f  , 感谢作者 3.png 上一篇文章搭建了一个具有基础功能,权限认证.TLS 的私有仓库, ...

  5. Docker镜像仓库Harbor部署

    一.Harbor组件 组件 功能 harbor-adminserver 配置管理中心 harbor-db Mysql数据库 harbor-jobservice 负责镜像复制 harbor-log 记录 ...

  6. (十九)VMware Harbor 详细介绍

    一 . 简介 Harbor是VMware公司开源的企业级DockerRegistry项目,项目地址为https://github.com/vmware/harbor.其目标是帮助用户迅速搭建一个企业级 ...

  7. Docker私有仓库与Harbor部署使用

    Docker私有仓库与Harbor部署使用 目录 Docker私有仓库与Harbor部署使用 一.本地私有仓库 1. 下载registry镜像 2. 在daemon.json文件中添加私有镜像仓库地址 ...

  8. 企业级Docker私有仓库之Harbor部署(http)

    部署环境 Centos7.3 x64 docker-ce-17.06.0 docker-compose-1.15.0 Python-2.7.5(系统默认) Docker及Docker-compose安 ...

  9. 企业级docker仓库Harbor部署

    1.安装环境下载离线安装包地址https://github.com/vmware/harbor/releases/yum install -y dockerpip install -i https:/ ...

随机推荐

  1. java集合框架之HashSet

    参考http://how2j.cn/k/collection/collection-hashset/364.html#nowhere 元素不能重复 Set中的元素,不能重复重复判断标准是: 首先看ha ...

  2. flex+blazeds

    BlazeDS开发指南: http://www.cnblogs.com/xia520pi/archive/2012/05/26/2519343.html 使用BlazeDS实现Flex和Java通信 ...

  3. JAVA基础--JAVA API常见对象(包装类和正则)12

    一.基本类型包装类 1.基本类型包装类介绍 8种基本类型: byte  short    int    long    float   double   char   boolean 这8种基本类型它 ...

  4. 看后端程序员调试CORS的姿势

    # 目录 为什么有同源策略? 需要解决的问题 CORS跨域请求方案 preflight withCredentials 附:高效.优雅地调试CORS实现 为什么有同源策略?       同源策略Sam ...

  5. L2-023 图着色问题 (25 分)vector

    图着色问题是一个著名的NP完全问题.给定无向图,,问可否用K种颜色为V中的每一个顶点分配一种颜色,使得不会有两个相邻顶点具有同一种颜色? 但本题并不是要你解决这个着色问题,而是对给定的一种颜色分配,请 ...

  6. uoj #210. 【UER #6】寻找罪犯【2-SAT】

    首先最直观的,列一排是罪犯一排不是罪犯,对于一个条件u说v(0是1否)f罪犯,如果u不是,那么vf罪犯:如果u是,枚举他说谎的一条wg罪犯,令w(g^1)罪犯连其他条的vf 但是这样有个电度数方,会炸 ...

  7. Metabolic Signatures of Cystic Fibrosis Identified in Dried Blood Spots For Newborn Screening Without Carrier Identification (文献分享一组-孔楠楠)

    题目:Metabolic Signatures of Cystic Fibrosis Identified in Dried Blood Spots For Newborn Screening Wit ...

  8. 详解Codis安装与部署

    Codis github上的介绍安装,里面很全,而且也有中/英文的,只不过按照github的步骤安装,会有一些坑,所以有了这么一篇文章. 在上一篇文章<Redis实用监控工具一览>中,介绍 ...

  9. IMG 的alt和title的区别(转自 百度空间--路云的世界)

    图片标签img中alt与title的区别 图片标签img中alt与title的区别 可能很多新手在做站内优化的时候,不明白图片标签img中alt与title的区别,今天为大家说一下其中的区别. 大家可 ...

  10. Codeforces 997D(STL+排序)

    D. Divide by three, multiply by two time limit per test 1 second memory limit per test 256 megabytes ...