（五）VMware Harbor 部署之SSL

**：

簽名證書：由權威頒發機構頒發給伺服器或者個人用於證明自己身份的東西。

自簽名證書：由伺服器自己頒發給自己，用於證明自己身份的東西，非權威頒發機構發布。

openssl 是乙個強大的安全套接字層密碼庫，囊括主要的密碼演算法、常用的金鑰和證書封裝管理功能及ssl協議，並提供豐富的應用程式供測試或其它目的使用。

key通常用來存放乙個公鑰或者私鑰,並非x.509證書,編碼同樣的,可能是pem,也可能是der。證書自身擁有乙個金鑰對（即乙個公鑰和乙個私鑰），由公鑰（public key）與私鑰（private key）是通過一種演算法得到，公鑰是金鑰對中公開的部分，私鑰則是非公開的部分。一般公鑰和金鑰的關係為：1，公鑰和私鑰成對出現、2，公開的金鑰叫公鑰，只有自己知道的叫私鑰、3，用公鑰加密的資料只有對應的私鑰可以解密、4，用私鑰加密的資料只有對應的公鑰可以解密、5，如果可以用公鑰解密，則必然是對應的私鑰加的密、6，如果可以用私鑰解密，則必然是對應的公鑰加的密。

csr檔案必須在申請和購買ssl證書之前建立。也就是證書申請者在申請數字證書時由csp(加密服務提供者)在生成私鑰的同時也生成證書請求檔案，證書申請者只要把csr檔案提交給證書頒發機構後，證書頒發機構使用其根證書私鑰簽名就生成了證書公鑰檔案，也就是頒發給使用者的證書。

建立證書存放目錄：

mkdir -p /data/cert && cd /data/cert

openssl genrsa -out ca.key 2048   #生成根證書私鑰（無加密）

openssl req -x509 -new -nodes -key ca.key -days 10000 -out ca.crt -subj "

/cn=harbor-ca

"req 　　產生證書簽發申請命令

-x509 　　簽發x.509格式證書命令。x.509是最通用的一種簽名證書格式。

-new 　　生成證書請求

-key 指定私鑰檔案

-nodes 表示私鑰不加密

-out 　　輸出

-subj 指定使用者資訊

-days 有效期

注意：一路回車。。。

echo subjectaltname = ip:192.168.3.135 >extfile.cnf

openssl x509 -req -in server.csr -ca ca.crt -cakey ca.key -cacreateserial -days 365 -extfile extfile.cnf -out server.crt

x509 簽發x.509格式證書命令。

-req 表示證書輸入請求。

-days 表示有效天數

-extensions 表示按openssl配置檔案v3_req項新增擴充套件。

-ca 表示ca證書,這裡為ca.crt

-cakey 表示ca證書金鑰,這裡為ca.key

-cacreateserial表示建立ca證書序列號

-extfile 　　指定檔案

更新主機名和協議

#set主機名

# 如果如下目錄不存在，請建立，如果有網域名稱請按此格式依次建立

mkdir -p /etc/docker/certs.d/192.168.3.135

# mkdir -p /etc/docker/certs.d/[ip2]

# mkdir -p /etc/docker/certs.d/[example1.com]

# 如果埠為443，則不需要指定。如果為自定義埠，請指定埠

# /etc/docker/certs.d/yourdomain.com:port

# 將ca根證書依次複製到上述建立的目錄中

cp ca.crt /etc/docker/certs.d/192.168.3.135/

#首先重啟下docker

systemctl restart docker

#為harbor生成配置檔案

（五）VMware Harbor 部署之SSL

（十七）VMware Harbor 垃圾清理

（八）VMware harbor 成員管理

部署架構（五）

（五）VMware Harbor 部署之SSL

（十七）VMware Harbor 垃圾清理

（八）VMware harbor 成員管理

部署架構（五）

相關推薦