在当今云原生和DevOps的浪潮中，Harbor作为企业级容器镜像仓库，已成为不可或缺的基础设施。但若未正确配置SSL证书，你的镜像仓库可能像“裸奔”在互联网上——数据可能被窃听、篡改甚至遭遇中间人攻击。本文将以“厨房安全”为比喻，带你轻松理解Harbor SSL证书的配置要点。

一、为什么Harbor必须配SSL证书？

想象你开了一家餐馆（Harbor仓库），每天要接收供应商（开发者）送来的食材（容器镜像）。如果所有食材都用透明塑料袋运输（HTTP明文传输），任何人都能拆包掺假。而SSL证书就像加封的冷链箱（HTTPS加密），确保食材从源头到厨房的完整性。

典型风险案例：

- 某公司使用HTTP协议的Harbor，攻击者在内部网络嗅探到`docker login`命令，窃取管理员凭据后上传恶意镜像

- 中间人攻击伪造Harbor登录页，诱导开发者输入凭证（类似钓鱼网站）

二、SSL证书的三种来源及选择

1. 权威CA证书（推荐生产环境使用）

好比米其林餐厅必须使用***认证的食品供应商。由DigiCert、Let's Encrypt等机构签发，浏览器/操作系统天然信任。

获取方式举例：

```bash

Let's Encrypt免费证书申请示例

certbot certonly --standalone -d harbor.yourdomain.com

```

2. 私有CA证书（适合企业内部）

类似大型连锁餐厅自建质检实验室。需要提前在所有客户端安装CA根证书。

生成步骤：

生成CA根证书

openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -key ca.key -days 3650 -out ca.crt

为Harbor生成服务器证书

openssl genrsa -out harbor.key 2048

openssl req -new -key harbor.key -out harbor.csr

openssl x509 -req -in harbor.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out harbor.crt -days 365

3. 自签名证书（仅用于测试）

就像在家做饭自己尝味道——没有第三方监督，浏览器会显示警告。

三、Harbor配置SSL实操演示

假设我们已有`harbor.crt`和`harbor.key`文件：

Step1. 修改Harbor配置文件

```yaml

harbor.yml关键配置段

https:

port: 443

certificate: /etc/harbor/ssl/harbor.crt

private_key: /etc/harbor/ssl/harbor.key

Step2. Docker客户端信任证书（私有CA时必需）

Linux系统

sudo mkdir -p /etc/docker/certs.d/harbor.yourdomain.com/

sudo cp ca.crt /etc/docker/certs.d/harbor.yourdomain.com/ca.crt

Windows需双击导入ca.crt到"受信任的根证书颁发机构"

Step3. Harbor服务重启验证效果

TLS进阶技巧：防御现代威胁

1. 禁用老旧协议

在Nginx配置中添加：

```nginx

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';

```

2. 自动续期方案

使用crontab定期执行Let's Encrypt续期：

```bash

0 */12 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

3. 双向mTLS认证

像餐厅不仅验证供应商资质，还要求对方验证自己身份：

```yaml

harbor.yml添加客户端验证

auth:

mutual_tls_cn: "CN=client-team,O=mycorp"

FAQ高频问题排查

Q：Docker push时报`x509: certificate signed by unknown authority`

A：确认客户端已安装CA根证书，检查`/etc/docker/daemon.json`是否误配了`insecure-registries`

Q：Chrome访问显示"您的连接不是私密连接"

A：检查证书链是否完整（可用`openssl verify -CAfile ca.crt harbor.crt`测试）

Q：企业防火墙拦截OCSP请求导致访问慢

A：在Nginx配置中禁用OCSP装订：`ssl_stapling off;`

通过以上步骤，你的Harbor就穿上了坚固的"防弹衣"。记住：安全不是一次性的工作，建议每季度检查一次密钥轮换情况，并监控Certificate Transparency日志（如crt.sh），就像米其林餐厅需要定期接受卫生检查一样。

TAG:harbor ssl证书,ssl证书 ca,ssl证书详解,ssl证书厂商,haproxy ssl证书