В настоящее время я внедряю частный сервер реестра Docker с nginx настроен на пересылку https безопасный трафик в работающий реестр Docker (т.е. docker-compose) пример в частной сети (с настроенным DNS, DHCP).
У меня вся установка работает должным образом, но мне пришлось создавать самозаверяющие сертификаты поскольку мне не разрешено использовать «Давайте зашифровать» (жесткое требование). Я развернул .crt файл в /usr/local/share/ca-certificates на всех хостах Ubuntu в моей сети и обновил хранилище сертификатов (т.е. через sudo update-ca-certificates -f).
Однако, даже если сертификат является «доверенным» (из шага выше), он по-прежнему регистрируется как «самоподписанный», и единственный способ заставить Docker Registry работать полностью - это создать файл, /etc/docker/daemon.jsonсо следующим содержимым (при условии, что мой экземпляр Docker Registry работает на registry хост на моем lan домен):
{
"insecure-registries" : [ "registry.lan:5000" ]
}
Это приводит к сбою некоторых функций (например, некоторые плагины не будут работать, если включены «небезопасные реестры»).
Как я могу настроить мою частную сеть (т.е. предполагая, что она даже не подключена к Интернету большую часть времени), чтобы все машины в сети «полностью доверяли» сертификату (т.е. чтобы сертификат был «публично доверенным» среди хостов на локальная сеть)? то есть какую команду я могу запустить или файл конфигурации я могу настроить?
Это похоже на возможное решение: создать ключ сервера CA plus в моей частной сети.
Спасибо.
Используйте доверенный центр сертификации для подписи сертификатов x509.
Поместите полученный сертификат и его ключ на веб-сервер, на котором вы завершаете TLS.
Использование сертификатов, подписанных CA, не подразумевает использования Let's Encrypt; и обратное тоже. Возможно использование другой PKI, будь то запущенная вашей организацией (это небольшой проект, который нужно делать правильно), или нет.