В даний час я реалізую приватний сервер реєстру Docker з nginxналаштованим для httpsбезпечного пересилання трафіку до запущеного docker-composeекземпляра Docker Registry (тобто ) в приватній мережі (з налаштованим DNS, DHCP).
У мене все налаштування працює як очікувалося, але довелося створити сертифікати, що підписуються самостійно, оскільки мені не дозволяється використовувати "Давайте шифрувати" (сувора вимога). Я розгорнув .crtфайл /usr/local/share/ca-certificatesна всіх хостах Ubuntu в моїй мережі та оновив сховище сертифікатів (тобто через sudo update-ca-certificates -f).
Тим НЕ менше, навіть якщо сертифікат «довірений» (з наведеного вище кроку), сертифікат по - , як і раніше зареєстрований як «самозаверяющій», і єдиний спосіб , яким я можу отримати Docker Registry працює повністю шлях створення файлу , /etc/docker/daemon.jsonпри наступному вміст (якщо припустимо, що мій екземпляр реєстру Docker працює на registryхості в моєму lanдомені):
{
"insecure-registries" : [ "registry.lan:5000" ]
}
Це призводить до порушення функціональності (тобто є деякі плагіни, які не працюватимуть, якщо ввімкнено "незахищені регістри").
Питання
Як я можу налаштувати свою приватну мережу (тобто припускаючи, що вона навіть не підключена до Інтернету більшість часу), щоб усі машини в мережі "повністю довіряли" сертифікату (тобто, таким чином, cert "публічно довіряється" серед хостів у локальна мережа)? тобто яку команду я можу запустити або налаштувати файл, який я можу налаштувати?
Це здається можливим рішенням: створити серверний ключ CA плюс у моїй приватній мережі.
Дякую.