登陆harbor发现证书是错误的, 那么如何更新harbor的证书呢

Error response from daemon: Get "https://172.16.21.35/v2/": tls: failed to verify certificate: x509: certificate is valid for 127.0.0.1, ::1, 172.16.21.30, not 172.16.21.35

版本 v2.10.1-b7b88476  不需要从头看, 直接看最下面的成功的证书创建

这里面首先遇到的坑是 openssl版本太低, 需要先升级到 1.1.1 

https://openssl-library.org/source/ 网站拿到最新版本 3.4wget https://github.com/openssl/openssl/releases/download/openssl-3.4.0/openssl-3.4.0.tar.gz
tar -zxvf openssl-3.4.0.tar.gz
cd openssl-3.4.0
mv /usr/local/openssl /usr/local/openssl_bak
./config --prefix=/usr/local/opensslmakemake installmv /usr/bin/openssl /usr/bin/openssl_bak
mv /usr/include/openssl /usr/include/openssl_bakln -s /usr/local/openssl/bin/openssl /usr/bin/opensslln -s /usr/local/openssl/include/openssl /usr/include/openssl

上述config报错

Can't locate IPC/Cmd.pm in @INC (@INC contains: /etc/yum.repos.d/openssl-3.4.0/util/perl /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 . /etc/yum.repos.d/openssl-3.4.0/external/perl/Text-Template-1.56/lib) at /etc/yum.repos.d/openssl-3.4.0/util/perl/OpenSSL/config.pm line 19.
BEGIN failed--compilation aborted at /etc/yum.repos.d/openssl-3.4.0/util/perl/OpenSSL/config.pm line 19.
Compilation failed in require at /etc/yum.repos.d/openssl-3.4.0/Configure line 23.
BEGIN failed--compilation aborted at /etc/yum.repos.d/openssl-3.4.0/Configure line 23.解决办法: sudo yum install perl-IPC-Cmd

报错

openssl: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory

openssl: error while loading shared libraries: libcrypto.so.3: cannot open shared object file: No such file or directory

解决办法

 find / -name libssl.so.3找到 
/usr/local/openssl/lib64/libssl.so.3创建软件链接sudo ln -sf /usr/local/openssl/lib64/libssl.so.3 /lib64/libssl.so.3sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.3 /lib64/libcrypto.so.3

ssh 172.16.20.20 

cd /opt/harbor

更新 /opt/harbor 目录中的证书,通常是指更新 Harbor 的 HTTPS 证书。以下是更新 Harbor 证书的详细步骤:

生成 dockerhub.kubekey.local.keydockerhub.kubekey.local.pemdockerhub.kubekey.local-key.pem 这样的证书文件,通常是在生成自签名证书或证书签名请求(CSR)时进行的。根据您提供的文件名结构,它们可能涉及到私钥文件(.key)、证书文件(.pem)以及可能的密钥文件(.key.pem)。下面是生成这些文件的步骤:

1. 生成私钥文件 (dockerhub.kubekey.local.key)

生成私钥文件是生成 SSL 证书的第一步。使用 openssl 生成一个私钥文件。

根据 harbor.yml里面的配置

certificate: /etc/ssl/registry/ssl/dockerhub.kubekey.local.pem
private_key: /etc/ssl/registry/ssl/dockerhub.kubekey.local-key.pem
在目录  /etc/ssl/registry/ssl 清掉原来的文件, 重新生成

cd /etc/ssl/registry/ssl

openssl genpkey -algorithm RSA -out dockerhub.kubekey.local.key -pkeyopt rsa_keygen_bits:2048

这个命令会生成一个 2048 位的 RSA 私钥,并将其保存为 dockerhub.kubekey.local.key

2. 生成证书签名请求(CSR) (dockerhub.kubekey.local.csr)

使用私钥生成证书签名请求(CSR)。CSR 用于向证书颁发机构(CA)申请签名证书,或者生成自签名证书。

 
openssl req -new -key dockerhub.kubekey.local.key -out dockerhub.kubekey.local.csr

执行此命令时,您需要提供一些信息:

  • Country Name (2 letter code): 国家代码,例如 CN(中国)。
  • State or Province Name: 省份名称。
  • Locality Name: 城市名称。
  • Organization Name: 公司名称。
  • Organizational Unit Name: 部门名称。
  • Common Name: 常见名称,通常是要为其创建证书的域名(例如 dockerhub.kubekey.local)。
  • Email Address: 联系邮箱。
  • 随机密码: 8ZNDyM4cTzLkwG5w

生成的 dockerhub.kubekey.local.csr 将包含该域名的证书请求信息。

3. 生成自签名证书(.pem.key.pem

如果您打算使用自签名证书,则可以使用 openssl 生成自签名证书。以下命令将生成 dockerhub.kubekey.local.pemdockerhub.kubekey.local-key.pem

openssl req -x509 -key dockerhub.kubekey.local.key -in dockerhub.kubekey.local.csr -out dockerhub.kubekey.local.pem -days 3650

此命令会创建一个有效期为 365 天的自签名证书,并将其保存为 dockerhub.kubekey.local.pem

解释:
  • -x509: 生成自签名证书。
  • -key dockerhub.kubekey.local.key: 使用之前生成的私钥文件。
  • -in dockerhub.kubekey.local.csr: 使用 CSR 文件。
  • -out dockerhub.kubekey.local.pem: 输出自签名证书文件。
  • -days 365: 设置证书有效期为 365 天。

4. 如果需要将证书和私钥合并为 .pem 格式

有时您可能需要将私钥和证书合并为一个 .pem 文件:

 
cat dockerhub.kubekey.local.key dockerhub.kubekey.local.pem > dockerhub.kubekey.local-key.pem

这会将私钥和证书文件合并成一个文件,命名为 dockerhub.kubekey.local-key.pem


执行以上步骤后,您应该会生成以下文件:

  • dockerhub.kubekey.local.key:私钥文件。
  • dockerhub.kubekey.local.csr:证书签名请求文件。
  • dockerhub.kubekey.local.pem:自签名证书文件。
  • dockerhub.kubekey.local-key.pem:合并后的证书和私钥文件。


5. 重启 Harbor 服务

在替换证书后,需要重启 Harbor 服务使新证书生效。

重启命令:
cd /opt/harborsudo docker-compose downsudo docker-compose up -d
验证服务状态:

sudo docker-compose ps

6. 验证证书是否生效

使用 curl 验证:

curl -v https://172.16.20.20

或通过浏览器访问:

打开浏览器访问 https://172.16.20.20,查看证书是否为更新后的版本。

上面的替换没有生效, 检查docker-compose.yml文件 , 这里的nginx对外的端口是 443, https的端口, 先替换这里的证书  /mnt/registry/secret/cert

 proxy:image: goharbor/nginx-photon:v2.10.1container_name: nginxrestart: alwayscap_drop:- ALLcap_add:- CHOWN- SETGID- SETUID- NET_BIND_SERVICEvolumes:- ./common/config/nginx:/etc/nginx:z- /mnt/registry/secret/cert:/etc/cert:z- type: bindsource: ./common/config/shared/trust-certificatestarget: /harbor_cust_certnetworks:- harborports:- 3880:8080- 443:8443depends_on:- registry- core- portal- loglogging:driver: "syslog"options:syslog-address: "tcp://localhost:1514"tag: "proxy"

在目录 /mnt/registry/secret/cert 重新生成这两个文件 server.crt  server.key

cd /mnt/registry/secret/cert生成新的私钥文件(server.key)如下命令不要用, 生成的是 PKCS#8格式 比较短openssl genpkey -algorithm RSA -out /mnt/registry/secret/cert/server.key经过验证 如下命令生成的是 PKCS#1 格式 的私钥, 
openssl genrsa -out server.key 2048生成新的证书请求文件(server.csr)openssl req -new -key /mnt/registry/secret/cert/server.key -out /mnt/registry/secret/cert/server.csrA challenge password: SmKc8QHpKBWu2RUJ生成自签名证书(server.crt)
openssl x509 -req -in /mnt/registry/secret/cert/server.csr -signkey /mnt/registry/secret/cert/server.key -out /mnt/registry/secret/cert/server.crt -days 36500最后生成文件列表server.crt  server.csr  server.key

然后重启harbor

cd /opt/harborsudo docker-compose downsudo docker-compose up -d

# 对于 Linux 客户端
将文件 /mnt/registry/secret/cert/server.crt 上传至 172.16.21.35:/etc/ssl/certsmv server.crt 172.16.20.20.server.crt然后更新
sudo update-ca-certificatesopenssl x509 -in /etc/ssl/certs/172.16.20.20.server.crt -noout -text

在172.16.21.35上验证证书


curl https://172.16.20.20  报错curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.htmlcurl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.cp ca.crt /etc/ssl/certs/172.16.20.20.server.crt
# 修改文件权限
sudo chmod 777 /etc/ssl/certs/172.16.20.20.server.crtcurl --cacert /etc/ssl/certs/172.16.20.20.server.crt https://172.16.20.20这条命令正常执行的curl -v https://172.16.20.20这条也是正常的curl https://172.16.20.20 也正常了  , 反而 curl --cacert /etc/ssl/certs/172.16.20.20.server.crt https://172.16.20.20 却不行了.

配置docker的自签证书

mkdir -p /etc/docker/certs.d/172.16.20.20
上传 server.crt 并命名 ca.crt
重启 docker生成 server.cert, 与 server.key 一并上传到目录 /etc/docker/certs.d/172.16.20.20openssl x509 -req -in server.csr -signkey server.key -out server.certsudo systemctl restart docker验证依然报错docker login 172.16.20.20
Username: admin
Password: 
Error response from daemon: Get "https://172.16.20.20/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead使用如下方法生成: openssl req -newkey rsa:4096 -nodes -sha256 -keyout server.key -x509 -days 36500 -out server.crt -addext "subjectAltName = DNS:172.16.20.20"

登陆docker harbor遇到报错

root@master:/etc/docker/certs.d# docker login 172.16.20.20
Username: admin
Password: 
Error response from daemon: Get "https://172.16.20.20/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead

在上述生成证书的基础上 增加一个配置

vi openssl.cnf

[req]
default_bits        = 2048
default_keyfile     = server.key
distinguished_name  = req_distinguished_name
req_extensions      = v3_req
x509_extensions     = v3_ca
string_mask         = utf8only[req_distinguished_name]
countryName         = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = California
localityName        = Locality Name (eg, city)
localityName_default = San Francisco
organizationalName = Organization Name (eg, company)
organizationalName_default = Example Inc.
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default  = 172.16.20.20
commonName_max      = 64[v3_req]
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names[alt_names]
DNS.1   = 172.16.20.20
IP.1    = 172.16.20.20


生成包含 SAN 的证书
openssl genrsa -out server.key 2048生成证书请求 (CSR)
openssl req -new -key server.key -out server.csr -config openssl.cnf自签署证书并加入 SANopenssl x509 -req -in server.csr -signkey server.key -days 36500 -out server.crt -extensions v3_req -extfile openssl.cnf经过这次重新设置, 生效了, 主要是把原来的 证书全部删除然后生成chmod 777 server*

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/64483.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

外观模式的理解和实践

外观模式(Facade Pattern)是一种常用的软件设计模式,它提供了一个统一的接口,用来访问子系统中的一群接口。该模式定义了一个高层的接口,使得子系统更容易使用。简单来说,外观模式就是通过引入一个外观角色…

excel使用笔记

1.工作表1计算工作表2某列的和 假设我们有两个工作表,分别命名为“Sheet1”和“Sheet2”,我们想要求和这两个工作表中A1到A**单元格的数据,可以在任意一个工作表的单元格中输入以下公式: SUM(Sheet1!A1:A10, Sheet2!A1:A10) SUM…

《应用导航设计:裂变式路由风暴来袭》——HarmonyOS开发项目时的Navigation路由奇妙使用

文章目录 应用导航设计引言概述场景示例基本实现推荐方案路由管理模块的实现页面跳转实现 业务实现中的关键点动态加载路由栈管理 应用导航设计 引言 在大型应用开发中,如何高效地设计应用导航,处理多模块间的路由跳转与解耦,始终是一个关键…

【腾讯云】AI驱动TDSQL-C Serveress 数据库技术实战营-如何是从0到1体验电商可视化分析小助手得统计功能,一句话就能输出目标统计图

欢迎来到《小5讲堂》 这是《腾讯云》系列文章,每篇文章将以博主理解的角度展开讲解。 温馨提示:博主能力有限,理解水平有限,若有不对之处望指正! 目录 背景效果图流程图创建数据库基本信息数据库配置设置密码控制台开启…

XSLT 编辑 XML

XSLT 编辑 XML 介绍 XSLT(可扩展样式表语言转换)是一种用于转换XML文档的语言。它允许开发人员将XML数据转换为其他格式,如HTML、PDF或纯文本。XSLT通过使用XPath查询来定位XML文档中的元素,并对这些元素应用转换规则。在本教程…

thinkphp8自带分页bootstrap

tp8引用的是bootstrap3.4.1这个版本&#xff1b; 前端结构&#xff1a; <ul class"pagination"><li><a href"/index.php?page4"></a></li><li><a href"/index.php?page1">1</a></li>…

win服务器的架设、windows server 2012 R2 系统的下载与安装使用

文章目录 windows server 2012 R2 系统的下载与安装使用1 windows server 2012 的下载2 打开 VMware 虚拟机软件&#xff08;1&#xff09;新建虚拟机&#xff08;2&#xff09;设置虚拟机&#xff08;3&#xff09;打开虚拟机 windows server 2012&#xff08;4&#xff09;进…

如何在谷歌浏览器中开启安全浏览

在数字化时代&#xff0c;网络安全变得愈发重要。作为全球最受欢迎的网络浏览器之一&#xff0c;谷歌浏览器提供了多种功能来保护用户的在线安全。本文将详细介绍如何在谷歌浏览器中开启安全浏览&#xff0c;并额外提供一些有用的页面滚动设置、地址栏快捷搜索和跟踪防护的相关…

djiango DRF的使用

djiango DRF的使用 一 、初始 DRF序列化环境安装环境配置数据模型定义定义DRF序列化模型对象 二 、DRF请求和响应请求对象&#xff08;Request objects&#xff09;响应对象&#xff08;Response objects&#xff09;状态码&#xff08;Status codes&#xff09;包装&#xff0…

如何使用 Python 连接 PostgreSQL 数据库?

在Python开发中&#xff0c;连接PostgreSQL数据库是一个常见的需求。 我们可以使用多种库来实现这一功能&#xff0c;其中最常用的是psycopg2。 下面我将详细介绍如何使用psycopg2来连接PostgreSQL数据库&#xff0c;并提供一些实际开发中的建议和注意事项。 1. 使用 psycop…

计算机网络-HTTP协议

HTTP HTTP是一种不保存状态&#xff0c;即无状态的协议。HTTP协议自身不对请求和响应之间的通信进行保存。为了保存状态因此后面也有一些技术产生比如Cookies技术。 HTTP是通过URI定位网上的资源&#xff0c;理论上将URI可以访问互联网上的任意资源。 如果不是访问特定的资源…

CTFHub 命令注入-综合练习(学习记录)

综合过滤练习 命令分隔符的绕过姿势 ; %0a %0d & 那我们使用%0a试试&#xff0c;发现ls命令被成功执行 /?ip127.0.0.1%0als 发现一个名为flag_is_here的文件夹和index.php的文件&#xff0c;那么我们还是使用cd命令进入到文件夹下 http://challenge-438c1c1fb670566b.sa…

前端 下载文件时如何处理后端返回的 文件流

在前端&#xff0c;处理文件下载通常涉及到接受一个 文件流&#xff08;Blob 或者 ArrayBuffer&#xff09;&#xff0c;然后将它转换成可以下载的链接。以下是实现前端文件下载并接受文件流的一些常见方法。 1. 使用 Blob 和 URL.createObjectURL 创建下载链接 假设后端返回…

HttpSevletRequest Body信息不能被多次读取的问题

在 Java Web 开发中&#xff0c;HTTP 请求体是客户端向服务器发送数据的主要载体&#xff0c;例如表单提交、JSON 数据等。当服务器收到请求后&#xff0c;通常通过 HttpServletRequest 类获取请求体的内容。然而&#xff0c;HTTP 请求体通常只能被读取一次。这是因为请求体使用…

ARM CCA机密计算安全模型之受保护内存

安全之安全(security)博客目录导读 目录 1、一般威胁模型 2、可能的缓解措施 3、CCA 使用外部内存 4、外部内存初始化 5、资产 6、基线内存保护配置文件 7、内存清理 8、额外的内存保护 许多 Realm 和 CCA 资产存储在外部内存中。本博客讨论针对基于内存攻击的缓解措施…

ubuntu升级python版本

Ubuntu升级Python版本 解压缩文件&#xff1a; 下载完成后&#xff0c;解压缩文件&#xff1a; tar -xf Python-3.12.0.tgz编译并安装&#xff1a; 进入解压后的目录&#xff0c;然后配置和安装Python&#xff1a; codecd Python-3.12.0 ./configure --enable-optimizations ma…

从Windows到Linux:跨平台数据库备份与还原

数据库的备份与还原 目录 引言备份 2.1 备份所有数据库2.2 备份单个数据库2.3 备份多个指定数据库 传输备份文件还原 4.1 还原所有数据库4.2 还原单个数据库4.3 还原多个指定数据库 注意事项拓展 1. 引言 在不同的操作系统间进行数据库迁移时&#xff0c;命令行工具是我们的…

准备写一个内网穿透的工具

准备写一个内网穿透的工具&#xff0c;目前只实现了HTTP内网穿透的GET方式&#xff0c;看能不能坚持写下去 git地址&#xff1a; xuejiazhi/PortRelay

google guava 库 最佳实践 学习指南 学习实用示例

学习Guava库 核心提纲: 入门示例 guava 最佳实践 学习指南 1. 概览与入门 Guava库的介绍Guava的安装与依赖配置Guava的主要模块和功能概览 入门示例 2. 基本工具类 Preconditions&#xff1a;用于断言和参数检查Verify&#xff1a;用于验证对象状态 https://blog.csdn.net/…

捣鼓小玩意-分批处理工具类

分批处理工具类 博主自己的博客点击访问&#xff08;内容大部分更新在自己的博客&#xff0c;有时间才会整理到CSDN&#xff09; 有时候会遇到一些大批量数据成千上万的列表&#xff0c;如果单独一个循环处理&#xff0c;可能会很慢&#xff0c;或者是遇到如需要根据id in ()…