docker pull遇见自签证书的https registry

已于 2023-04-14 01:52:33 修改
阅读量561 收藏 1
点赞数
分类专栏: docker 文章标签: docker https
于 2023-04-13 21:41:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nangonghen/article/details/130140732
版权

1 概述:

1.1 tls客户端对服务端进行校验

校验一半至少包含2层,一层是检查服务端证书中的COMMON NAME字段以及SAN字段是否包含了请求中指定的域名或者IP,另外一层是检查服务端证书是不是被客户端信任的CA所签发。一个常见的情景是docker client尝试从镜像服务(暴露https端口)中拉取镜像,会从上述2个层次做检查,如果有一个检查不通过则无法拉取镜像。


2 遇见自签证书的https registry解决方案之一:

将registry的CA证书ca.crt复制到本地。

# 如果客户端是centos系统

# 1)安装工具包
yum install -y ca-certificates

# 2)复制ca.crt
/bin/cp -f ca.crt /etc/pki/ca-trust/source/anchors/

# 3)更新被信任的CA证书
update-ca-trust

# 4)重启本地dockerd(此步骤是必须的,否则依然报错x509: certificate signed by unknown authority)
systemctl daemon-reload
systemctl restart docker


# 如果客户端是ubuntu系统

# 1)安装工具包
apt-get install -y ca-certificates

# 2)复制ca.crt
/bin/cp ca.crt /usr/local/share/ca-certificates/

# 3)更新被信任的CA证书
update-ca-certificates

# 4)重启本地dockerd(此步骤是必须的,否则依然报错x509: certificate signed by unknown authority)
systemctl daemon-reload
systemctl restart docker

3 小结:

期望docker client忽略检查tls握手中的CA校验,可以在操作系统层面解决,例如公司内部的https服务都使用同一个CA证书,将证书分发到每台机器上并执行相关命令,即可实现机器上的所有进程都信任该CA,当然也包括docker client、curl等。

nangonghen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS安全的docker registry —— 自签名证书 安装
XuYongshi02的专栏
06-06 8452
签名docker registry 安装 记录 安全的Docker registry, 包含Authentication, ACL, TLS 等, 不安全的, 包括, 只有签名的(TLS)的认证, 和 完全开放的。 以下是安装Docker registry 后, 利用openssl 生成一个自签名证书, 用户信任 Registry 的站点。 1. 基本信息 系统 64位R
docker搭建私有仓库、自签发证书、登录认证
小薯条的博客
12-26 3242
#先吧私有仓库down下来,这需要一点时间,刚好这中间的时间,我们可以准备一下其他的东西 docker pull registry 紧接着,registry需要https运行环境,所以来生成我们自己的证书(简单说明一下,目前的registry版本是2,之前的1是支持非ssl的,docker在0.9以下。) 先交代一下环境:物理机是win10,使用hyper-v 虚拟一个cenots(ip...
docker pull失败:x509: certificate has expired or is not yet
FlowingRiver
04-28 408
安装了docker,拉取镜像时却出现错误:x509: certificate has expired or is not yet valid.
使用docker pull更新时的证书过期不可用问题踩坑排坑
最新发布
digdugbomb的博客
05-11 1739
这将安装最新版本的 CA 证书包,其中包含了根证书等重要的 SSL/TLS 证书。我直接采用更新证书的方法,里面还有绕过ssl/tls的,从任何角度来说都不推荐。查了一下,centos7的SSL/TLS证书过期或者不可用,需要强制更新。4.这将把这些证书添加到系统的证书存储库中。都完成以后,重启docker。这将强制更新证书存储库。
docker解决Https问题
三朝看客
03-01 3341
安装nginx,制作https [root@linux-node1 ~]# yum install nginx -y [root@linux-node1 ~]# vim /etc/nginx/nginx.conf … include /etc/nginx/conf.d/*.conf; … 因为在配置文件中已经指定了目录,只有放在/etc/nginx/conf.d/*下面才会识别到 配置如下: [root@linux-node1 conf.d]# cat docker.conf upstream d
docker pull 的时候报错 Get https://xxx.xxx.com/v1/_ping: dial tcp get sock opt: connection refused
u014241231的博客
09-09 1085
今天在使用docker pull指令拉取自建Coding集成仓库中的镜像,报错 Get https://xxx.xxx.com/v1/_ping: dial tcp get sock opt: connection refused 原因是docker 默认不支持http的registry,可以通过编辑daemon.json让docker支持 vim /etc/docker/daemon.json 添加{ "insecure-regi...
docker里部署https
klkxxy的博客
10-04 2304
首先,申请免费证书,这个就不说了。 然后,将你要申请的域名,在云解析里,弄一个记录类型A 然后,才继续 Nginx安装 下载nginx1.10的docker镜像: docker pull nginx:1.10 从容器中拷贝nginx配置 先运行一次容器(为了拷贝配置文件): docker run -p 7009:80 --name nginx \ -v /mydata/nginx/html:/usr/share/nginx/html \ -v /mydata/ngin.
docker pull 报错:Get https://registry:5000/v1/_ping: http: server gave HTTP response to HTTPS client...
weixin_34337265的博客
05-23 469
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34173549/article/details/80415283 运行命令: echo '{ "insecu...
Docker 创建私有仓库,并支持HTTPS进行push | pull | login
黄树茂博客
06-01 1538
修改openssl.cnf文件 vi /etc/pki/tls/openssl.cnf 在[v3_ca]下面添加 subjectAltName = IP:192.168.20.105 openssl生成私有证书 [root@k3s-node2 ~]# mkdir /certs [root@k3s-node2 ~]# cd /certs [root@k3s-node2 certs]# open...
详解如何修改docker pull镜像源
09-30
Docker Hub Mirror 为全球最大的Docker Registry(Docker Hub)提供在中国的镜像代理服务。Docker Hub Mirror会为中国的用户在国内的服务器上缓存诸多镜像。
docker pull镜像速度慢的问题解决方法
09-30
主要介绍了docker pull镜像速度慢的问题解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决docker pull被复位出现的问题
09-30
主要介绍了解决docker pull被复位出现的问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决docker pull镜像速度慢的问题的方法
09-30
本篇文章主要介绍了解决docker pull镜像速度慢的问题的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker 拉取镜像及标签操作 pull | tag
01-08
重翻Fabric项目的源码,发现Docker部分内容,有很多不尽理解的地方,看着看着,就看到使用docker pull拉取Fabric镜像及使用docker tag为镜像重命名,稍作思虑,发现虽然使用过,却未求甚解,得过且过,如今已经忘了...
只有 3MB 的自签名证书制作 Docker 工具镜像:Certs Maker
为了不折腾而去折腾的那些事
10-22 488
本篇文章介绍一个小巧的 SSL 证书生成工具,考虑到跨平台运行,我将它构建成了 Docker 工具镜像,镜像尺寸只有 3MB 左右,还没有一张手机拍出来的照片大,应该算比较轻量了。 你可以使用它简单快速的生成包含多个域名的自签名证书,用在生产或者开发环境中。
k8s中docker设置代理
小学徒
05-14 1469
mkdir -p /etc/systemd/system/docker.service.d vi /etc/systemd/system/docker.service.d/http-proxy.conf [Service] Environment="HTTP_PROXY=http://10.194.*.*:808" "NO_PROXY=localhost,127.0.0.1,10.192.*.1*" systemctl daemon-reload systemctl restart docker sys
docker配置 HTTP/HTTPS 网络代理
qq_30034989的博客
07-31 3468
使用Docker的过程中,因为网络原因,通常需要使用 HTTP/HTTPS 代理来加速镜像拉取、构建和使用。下面是常见的三种场景。
docker pull 报错——Get https://registry-1.docker.io/v2/: net/http: TLS handshake timeout
qq_46153157的博客
08-02 3281
又是学习docker的一天
Docker镜像加入可信任证书
ミ安之偌素
11-20 4349
在使用容器访问一个自签名证书站点的时候碰到如下报错: curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy ...
docker pull 拉取 --insecure-registry
06-02
您可以使用 `docker pull` 命令来从 Docker 仓库中拉取镜像。如果要从使用未经验证的 SSL 证书Docker 仓库中拉取镜像,可以使用 `--insecure-registry` 参数。 例如,如果您要从 IP 地址为 192.168.1.100 的 Docker 仓库中拉取镜像并允许未经验证的 SSL 证书,可以使用以下命令: ``` docker pull --insecure-registry=192.168.1.100:5000 your-image ``` 这样,Docker 将允许连接到指定的仓库而不验证 SSL 证书,并拉取您所需的镜像。 请注意,使用未经验证的证书可能会存在安全风险,因此应谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值