阅读量:0
# 生成 Harbor使用的SAN证书.. # 生成CA证书私钥 openssl genrsa -out ca.key 4096 touch /root/.rnd # 生成CA证书 openssl req -x509 -new -nodes -sha512 -days 365 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.com" \ -key ca.key \ -out ca.crt # 生成私钥 openssl genrsa -out server.key 4096 # 生成证书签名请求(CSR) openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.com" \ -key server.key \ -out server.csr # 生成x509 v3扩展文件 DNS.1 后面可以添加DNS.2 增加多个签名域名 cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=harbor.com EOF # 使用v3.ext文件为您的Harbor主机生成证书。 openssl x509 -req -sha512 -days 365 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in server.csr \ -out server.crt # 打印证书base64 并去掉空格 base64 -w 0 ca.crt | tr -d '\n' | tr -d ' ' | tr -d '\t' base64 -w 0 server.crt | tr -d '\n' | tr -d ' ' | tr -d '\t' base64 -w 0 server.key | tr -d '\n' | tr -d ' ' | tr -d '\t'
将上述的 ca.crt server.crt 和 server.key 修改 harbor-ingress 中对应的值保存重启Harbor即可