• Linux下使用openssl为harbor制作证书

    openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
    一、安装

    检查是否自带如没有进行安装
[root@192 ~]# openssl version
OpenSSL 1.1.1m  14 Dec 2021
yum -y install openssl

    • 1
    • 2
    • 3
    • 4

    二、生成CA私钥文件

    [root@my zhengshu]# openssl genrsa -out ca.key 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
....................................................++++
.......++++
e is 65537 (0x010001)
生成一个4096位的RSA私钥。

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    三、生成 CA 证书(域名方式)

    openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=hubei/L=wuhan/O=test/OU=test/CN=my.harbor.com" \
 -key ca.key \
 -out ca.crt

    • 1
    • 2
    • 3
    • 4

    四、生成服务器证书
    1、先生成私钥:

    openssl genrsa -out my.harbor.com.key 4096

    • 1

    2、生成证书签名请求:

    openssl req -sha512 -new \
    -subj "/C=CN/ST=hubei/L=wuhan/O=test/OU=test/CN=my.harbor.com" \
    -key my.harbor.com.key \
    -out my.harbor.com.csr

    • 1
    • 2
    • 3
    • 4

    3、生成 x509 v3扩展文件

    cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=my.harbor.com
DNS.2=my.harbor
DNS.3=harbor
EOF
无论使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映所在域

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13

    4、使用该v3.ext文件为您的Harbor主机生成证书

    openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in my.harbor.com.csr \
    -out my.harbor.com.crt

    • 1
    • 2
    • 3
    • 4
    • 5

    五、配置到服务
    1、将服务器证书和密钥复制到 Harbor主机证书文件夹中

    cp my.harbor.com.crt /data/cert/
cp my.harbor.com.key /data/cert/

    • 1
    • 2

    2、转换my.harbor.com.crt为my.harbor.com.cert,供Docker使用

    openssl x509 -inform PEM -in my.harbor.com.crt -out my.harbor.com.cert

    • 1

    3、将服务器证书、密钥和 CA 文件复制到 Harbor 主机上的 Docker 证书文件夹中

    cp my.harbor.com.cert /etc/docker/certs.d/my.harbor.com/
cp my.harbor.com.key /etc/docker/certs.d/my.harbor.com/
cp ca.crt /etc/docker/certs.d/my.harbor.com/

    • 1
    • 2
    • 3

    4、重启docker

    systemctl restart docker

    • 1

    5、运行 prepare 脚本以启用 HTTPS

    ./prepare

    • 1

    6、Harbor正在运行,需要先停止并删除现有实例

    docker-compose down -v

    • 1

    7、重新启动Harbor

    docker-compose up -d

    • 1

    8、登录验证
    在这里插入图片描述

    本次配置到harbor里可以配置到Nginx、Apache等服务,登录harbor可以看到以下提示,标记为不信任,属于正常访问现象。
    在这里插入图片描述
    六、证书到期时间查看

    [root@192 ssl]# openssl x509 -in server.crt -noout -dates
notBefore=Oct 18 11:51:17 2023 GMT
notAfter=Oct 17 11:51:17 2024 GMT

    • 1
    • 2
    • 3

    附:使用ip方式生成证书
    1、生成CA证书私钥:

    openssl genrsa -out ca.key 4096

    • 1

    2、生成CA证书

    openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.100.20" \
 -key ca.key \
 -out ca.crt
 
 #  req  产生证书签发申请命令
 # -x509 签发X.509格式证书命令。X.509是最通用的一种签名证书格式。
 # -new  生成证书请求
 # -key  指定私钥文件
 # -nodes 表示私钥不加密
 # -out   输出
 # -subj 指定用户信息
 # -days 有效期

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13

    3、生成harbor服务器证书:

    openssl genrsa -out 192.168.100.20.key 4096

    • 1

    4、生成证书签名请求:

    openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.100.20" \
    -key 192.168.100.20.key \
    -out 192.168.100.20.csr

    • 1
    • 2
    • 3
    • 4

    5、生成x509 v3扩展文件

    cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.100.20
EOF

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    6、使用v3.ext 文件为harbor主机生成证书:

    openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in 192.168.100.20.csr \
    -out 192.168.100.20.crt
    
# x509  签发X.509格式证书命令。
# -req   表示证书输入请求。
# -days  表示有效天数
# -extensions 表示按OpenSSL配置文件v3_req项添加扩展。
# -CA   表示CA证书,这里为ca.crt
# -CAkey  表示CA证书密钥,这里为ca.key
# -CAcreateserial 表示创建CA证书序列号
# -extfile  指定文件

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14

    7、签发harbor证书:

    mkdir  -p   /data/cert/
cp 192.168.100.20.crt /data/cert/
cp 192.168.100.20.key /data/cert/

    • 1
    • 2
    • 3

    8、签发docker证书:

    openssl x509 -inform PEM -in 192.168.100.20.crt -out 192.168.100.20.cert

    • 1

    9、拷贝证书:

    mkdir -p /etc/docker/certs.d/192.168.100.20
cp 172.30.29.20.cert /etc/docker/certs.d/192.168.100.20/
cp 172.30.29.20.key /etc/docker/certs.d/192.168.100.20/
cp ca.crt   /etc/docker/certs.d/192.168.100.20/

    • 1
    • 2
    • 3
    • 4

    10、重启docker:

    systemctl restart docker

    • 1
  • 相关阅读:
    Linux:TTY串口接收中断
    vulfocus靶场名称: apache-cve_2021_41773/apache-cve_2021_42013
    [极客大挑战 2019]Http1
    实现Promise的原型方法--前端面试能力提升
    kdxf speex
    消息中间件篇之Kafka-高性能设计
    使用branch and bound分支定界算法选择UTXO
    [Vue3] 滚动条自动滚动到底部
    计算机毕业设计ssm社区疫情防控管理系统rgb2a系统+程序+源码+lw+远程部署
    Vercel 如何使用 Amazon EventBridge 调度器在2个月内发布 Cron 作业
  • 原文地址:https://blog.csdn.net/weixin_45432833/article/details/133913234