网站大量收购闲置独家精品文档,联系QQ:2885784924

Kubernetes集群实战 项目10拓展训练.docx

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

任务一拓展训练

配置https安全访问Harbor私有仓库

客服端到服务端或服务端到服务端的请求方式通常是http居多,但是考虑到安全性的问题,可以使用给系统添加一个证书来做认证,这种访问服务的协议就变成了https协议,使用的是443端口,对网站安全性要求高一点应用都需要使用证书的方式加密访问,因为仓库的数据对安全性要求也是比较高的,所以这里配置Harbor仓库的https访问。

生成私钥文件

证书是由一个受信任的机构颁发的,可以把它理解成有认证机构签字的公钥文件,这个证书是公开的,当用户访问时,使用这个证书进行加密数据,然后用服务器端的私钥进行解密数据,公钥和私钥匙成对出现的,所以一定要先生成私钥文件,然后在私钥的基础上,颁发证书,即颁发有认证机构盖章的公钥文件。

可以在大型的证书提供平台申请证书文件,但一般申请证书是收费的,为了方便教学,这里通过自己在本机签发证书的方式讲解生成私钥和证书过程。

下面通过openssl命令生成一个私钥文件server.key。

[root@node~]#opensslgenrsa-idea-outserver.key2048

GeneratingRSAprivatekey,2048bitlongmodulus

.............+++

.......................+++

eis65537(0x10001)

Enterpassphraseforserver.key:

Verifying-Enterpassphraseforserver.key:

genrsa指定加密算法#idea是一种加密方式,out后时输出的文件名,这里是server.key,2028表示生成的私钥长度,生成私钥时需要输入私钥的密码。

基于私钥生成证书文件

以下使用opensslreq在基于server.key私钥的基础上,生成了自己签发的证书server.crt。

[root@node~]#opensslreq-days36500-x509-sha256-nodes-newkeyrsa:2048-keyoutserver.key-outserver.crt

Generatinga2048bitRSAprivatekey

.........+++

....+++

writingnewprivatekeytoserver.key

-----

Youareabouttobeaskedtoenterinformationthatwillbeincorporated

intoyourcertificaterequest.

WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.

Therearequiteafewfieldsbutyoucanleavesomeblank

Forsomefieldstherewillbeadefaultvalue,

Ifyouenter.,thefieldwillbeleftblank.

-----

CountryName(2lettercode)[XX]:cn

StateorProvinceName(fullname)[]:ln

LocalityName(eg,city)[DefaultCity]:sy

OrganizationName(eg,company)[DefaultCompanyLtd]:college

OrganizationalUnitName(eg,section)[]:com

CommonName(eg,yournameoryourservershostname)[]:aa

EmailAddress[]:1@163.com

req表示管理证书签名请求,这里是签名场景,所以得用到new表示生成一个CA证书文件或证书签名请求文件。

x509是CA证书专属的参数,表示用来做证书签名。

key表示指定私钥文件。

out表示输出的证书文件。

day表示证书的有效期。

-keyout指定基于的私钥文件

这样在/root目录下就存在了私钥文件server.key和证书文件server.crt。

修改Harbor配置文件

打开Harbor的配置文件,去掉10到15行的注释,并把证书文件和私钥文件添加到certificate行和private_key行。

10https:

11httpsport

文档评论(0)

lai + 关注
实名认证
内容提供者

精品资料

版权声明书
用户编号:7040145050000060

1亿VIP精品文档

相关文档