我上周在头条号写过一篇原创文章《Docker-Harbor & Docker-kitematic 史上最详细双系统配置手册》，这篇算是它的姊妹篇吧。这篇文章也将用到我在头条写的另一篇原创文章的《为网站加把免费的安全锁——SSL证书的申请和使用》内容，如果有同学没有看过，希望先好好复习一下这两篇文章。

网上能找到的大部分用Https方式访问Harbor的文章，都是比较老的了，而且用了大幅篇幅来讲如何自签证书，并不是自签证书这个方式有什么不对，在测试时完全可以这么干，但在生成环境还是推荐用真实的SSL证书，而且自签证书的很大一个问题是需要每一个客户端都导入自签证书，否则每次访问都会出现不受信任的提示，现在云服务器这么普及，我觉得完全没必要浪费精力再去搞自签证书，如果不想花钱就参考我上面的——《为网站加把免费的安全锁——SSL证书的申请和使用》，拿到有效期为3个月的真实SSL证书。

以下环境假设各位已取得SSL证书的三个主要文件

一、准备Harbor站点证书

cat ca_bundle.crt >> certificate.crt

特别强调的是两个证书连接处要换行

这里引申说一下，其实如果网站仅引用certificate.crt证书文件，在用浏览器访问的时候也不会报什么错误，虽然网上也有同学指出会报证书不完整的错误，这个我确实没有遇到。但如果在本例中用docker访问会报x509: certificate signed by unknown authority错误，

所以ca_bundle.crt证书是不可缺少的。那么最后，我们自建的Harbor站点只有两个证书文件：certificate.crt 和 private.key。

二、开启Harbor站点的Https访问

我们需要修改<Harbor_HOME>harbor.yml 为如下，不用关闭80端口，官方已经解释了，如果使用Https访问站点，80端口会自动跳转到443端口

# http related config
http:
 # port for http, default is 80. If https enabled, this port will redirect to https port
 port: 80
# https related config
https:
# # https port for harbor, default is 443
 port: 443
# # The path of cert and key files for nginx
 certificate: certificate.crt
 private_key: private.key

这里碰到了一个有意思的事情，为了让大家少走弯路，在这里写出来，之前我文章中的Harbor版本是1.9.1，这个版本按上面方式修改<Harbor_HOME>harbor.yml文件后，重新启动docker-compose会报错

有人问了这个问题，具体可以参考

解决方式也挺有意思，见如下回复

就是删除 Port:443 和下面 certificate: 和 private_key: 这三行之前的空格。这个错误只有在你打开Https选项才会出现。还有请记得，如果之前为了在Harbor服务器端测试或其他目的，打开了本地docker访问Http的限制，增加了/etc/docker/daemon.json文件的话，记得在开通Https方式后删除这个文件即可。

目前的Harbor-1.9.2版本已经放出来了，修复上面这个问题，如果大家觉得上面比较麻烦的话，请升级到1.9.2版本吧。

用如下命令修改增加harbor.yml配置

docker-compose down -v
vi harbor.yml
./prepare
docker-compose up -d

三、测试

我在有Docker环境的一台Win服务器上，进行了连接测试

用浏览器登陆https://Harbor_domain，证书正常

至此，这个引申篇——《用Https方式访问Harbor-1.9版本》就结束了，欢迎大家多多交流评论，多多转发。