基于SAN证书docker registry构建问题记录

已于 2022-05-13 17:44:38 修改
阅读量786 收藏 1
点赞数
分类专栏: docker 文章标签: docker 运维
于 2022-05-13 15:53:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nanhai_happy/article/details/124752168
版权

项目场景:

基于Kylin v10构建docker registry遇到问题记录,仅供参考

docker升级前的版本信息:
在这里插入图片描述
升级后docker和go版本信息如下:
在这里插入图片描述

问题描述

由于硬件平台原因,需要升级go和docker,docker版本从18.09.7升级到20.10.9。
升级完成后,进行云平台部署,在云平台部署过程中fluentd container报错,通过单独docker pull下载镜像过程中报相同的错误,如下:
Error response from daemon: Get “https://registryserver:4000/v2”: X509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0)

原因分析:

老版本docker 18.0.7采用的go为1.10.8,新版本docker 20.10.9采用的go的版本为1.16.8。由于我环境中原先认证方式采用了CommonName方式,但Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书。所以我需要重新建立证书替换掉原先的认证方式。

解决方案:

根证书以及私钥创建

openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 36500 -key ca-key.pem -sha256 -subj "/CN=registryserver" -out ca.pem
openssl genrsa -out server-key.pem 4096

自行更改根证书CN=,我这采用registryserver(后续基于这个建立docker registryserver仓库),同时在生成 ca-key.pem 时会要求输入密码,后面的密码确认都需要,注意保护好密码。

服务器证书签发

注意DNS:均为签发证书主机名(自签证书),若任意写会出错,请参考问题记录

openssl req -new -sha256 \
    -key server-key.pem \
    -subj "/C=CN/OU=CLOUD/O=NUDT/CN=NUDT" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:registryserver")) \
    -out server.csr

openssl x509 -req -days 36500 \
    -in server.csr -out server-cert.pem \
    -CA ca.pem -CAkey ca-key.pem -CAcreateserial \
    -extensions SAN \
    -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:registryserver"))

需要自行修改-subj部分,DNS部分我这直接添加单个主机名。

上述命令中的 /etc/pki/tls/openssl.cnf ,即 openssl 的配置文件路径根据实际系统填写对应路径即可。

查看服务器证书信息

上述命令输入后,该有的文件就有了,可以看看最终的证书情况:

openssl x509 -noout -text -in server-cert.pem

配置registryserver

证书分发

注意:路径为我所运行的环境,大家根据实际情况处理

cp server-cert.pem /etc/docker/certs.d/registryserver:4000/ca.crt
cp server-cert.pem /yhcloud/certs/
cp server-key.pem /yhcloud/certs/
cp ca.pem /yhcloud/certs/

其他节点也需要ca.crt证书,才能正常docker pull registry仓库中的镜像
在其他节点上创建目录/etc/docker/certs.d/registryserver:4000/,将server-cert.pem拷贝成ca.crt
scp server-cert.pem $HOST:/etc/docker/certs.d/registryserver:4000/ca.crt

加载镜像

docker load < registry-2.img

或者从网络上下载registry镜像

启动registryserver

docker run -d --restart=always --name registry -v /yhcloud/certs:/certs -v /data:/var/lib/registry -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/server-cert.pem -e REGISTRY_HTTP_TLS_KEY=/certs/server-key.pem -p 4000:443 registry:2

镜像仓库上传下载

docker push ..
docker pull ...

问题记录:

  1. 替换完证书后进行docker pull,遇到如下报错:Error response from daemon: Get “https://registryserver:4000/v2/”: x509: certificate is valid for .kylinos.cn, not registryserver
    解决方案:由于目前我的环境是自建的docker registryserver,而我这边输入DNS处写了    .kylinos.cn字样与实际不匹配,故重新以主机名registryserver生成证书(未深入研究,个人理解,如有误请指正)
  2. 其他节点docker pull镜像,遇到如下报错:Error response from daemon: Get https://registryserver:4000/v2/: x509: certificate signed by unknown authority
    解决方案:编辑 vim /usr/lib/systemd/system/docker.service,找到ExecStart字段在-H之前加入以下配置: --insecure-registry=registryserver:4000即可解决。
    或者通过分发ca来解决:1、手动拷贝mkdir -p /etc/docker/certs.d/registryserver:4000, scp server-cert.pem $HOST:/etc/docker/certs.d/registryserver:4000/ca.crt;2、kolla-ansible方式:kolla-ansible -i multinode copy-cert

参考方案:

http://i.lckiss.com/?p=7479

牛角上的男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
去哪儿网基于Mesos和Docker构建私有云服务实践
02-25
本文深入介绍了去哪儿网利用Mesos和Docker构建私有云服务的全过程,分享了从无状态应用向有状态应用逐步过度的经验与心得。2014年下半年左右,去哪儿完成了有关构建私有云服务的技术调研,并最终拍定了Docker/Mesos...
docker registry 镜像同步的实现思路
09-29
主要介绍了docker registry 镜像同步的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
docker20.10.8及以上版本安装registry镜像库存在san ssl 证书
weixin_43991475的博客
03-10 4269
问题 Get “https://dockerhub.kubekey.local/v2/”: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0 分析 由于docker20.10.8及以上版本编译使用的go版本过高(>1.15.1)。go 1.15版本开始废弃CommonName,需要使
san ssl 证书docker 私有仓库搭建
u013332975的博客
08-25 1895
san ssl 证书docker 私有仓库搭建问题分析实现 问题 Get “https://kanq.test/v2/”: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0 分析 由于docker 版本20.10.8 版本编译使用的go 版本过高(>1.15.1)。是因为 go 1.15
nvm安装报错Could not retrieve https://npm.taobao.org/mirrors/node/latest/SHASUMS256.txt.
最新发布
True_story的博客
05-29 342
nvm镜像源错误,安装报错
Docker registry自签名证书
weixin_30840573的博客
12-20 340
权威Registry 获取安全证书有两个办法:互联网认证的CA处获取。自建CA自己给自己签名。 1、从认证CA处获取签名证书,大多数是需要付出一定费用的,近些年也有认证CA提供免费证书,例如Let’s Encrypt(被大多数浏览器信任)。下文使用Let’s Encrypt的例子您将清楚地看到这个步骤。 2、自建CA并签名证书的方式所带来的问题是CA本身的维护以及客户端方面的维护。要保证...
Unable to connect to the server: x509: certificate is valid for问题解决
doublepg13的博客
10-23 2857
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效。
ETCD client: etcd cluster is unavailable or misconfigured; error #0: x509: certificate is valid fo
热门推荐
jjc120074203的博客
07-24 1万+
ETCD 集群搭建etcd cluster is unavailable or misconfigured; error #0: x509: certificate is valid foX.X.X.X,X.X.X.X,not X.X.X.X 本人部署了三台ETCD集群,https 访问 因环境需要需要临时增加两台机器,进行集群部署,修改完新节点配置文件之后, 重启服务 systemctl...
Docker: Unknown – Unable to query docker version: x509: certificate is valid
viviliving的专栏
01-16 322
$ docker-machine regenerate-certs docker-machinels
基于Mesos/Docker构建数据处理平台
01-27
本文深入介绍了去哪儿网利用Mesos和Docker构建私有云服务的全过程,分享了从无状态应用向有状态应用逐步过度的经验与心得。 2014年下半年左右,去哪儿完成了有关构建私有云服务的技术调研,并最终拍定了Docker/Mesos...
为什么有了Dockerregistry还需要Harbor?
02-25
事实上,Habor是在DockerRegistry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制,AD/LDAP集成以及审计日志等。容器的核心在于镜象的概念,由于...
docker login x509: certificate has expired or is not yet valid
fenggj19870的专栏
09-18 3986
1.编辑daemon.json 文件,其默认位置/etc/docker/daemon.json 或者C:\ProgramData\docker\config\daemon.json 如果该daemon.json文件不存在,请创建它。假设文件中没有其他设置,则应具有以下内容: { "insecure-registries" : ["myregistrydomain.com:5000"] }...
docker pull 出现:x509: certificate signed by unknown authority
weixin_45620089的博客
09-27 418
解决如下 1. vim /usr/lib/systemd/system/docker.service 2.添加一列 ExecStart=/usr/bin/dockerd --insecure-registry 镜像所在的地址 3.重启docker
docker 报错x509: certificate signed by unknown authority
Python开发分享的博客
12-14 1万+
1.未开启证书验证的仓库 # vim /etc/docker/daemon.json { "insecure-registries": ["registry.svc.xxx.cn"] } #systemctl restart docker 2.开启证书验证的仓库 从私有仓库拉取镜像时报错: docker pull x509:certificate signed by unknown authority 解决方案: 1、登陆私有仓库服务器,进入/etc/docker/certs.d/目录
登录harbor时的SSL异常: x509: certificate is valid for ingress.local
JosephThatwho的博客
01-17 5352
背景 之前搭建了一套内网环境的harbor,绑定了一个harbor.test.com的域名。现在因为工作需要,给这个harbor服务绑定了一个公网域名,并且申请了SSL证书,在调整完docker-compose中harbor.yml以及docker-compose.yml文件内的证书后,可以通过浏览器访问,并且显示SSL握手成功。 但是通过docker命令行登录时,却抛出如下异常: Error response from daemon: Get "https://harbor.oulaoula.com/v2
使用TLS安全的访问Minio服务https访问minio
wade1010的专栏
02-11 1336
/certgen -host "127.0.0.1,192.168.1.10" (这里指定回环IP和本机IP)生成的证书未添加到根证书,https请求未携带数字证书会导致在SDK请求的时候出现如下错误。发现是GO1.15 X509 被砍了(不能用了) ,需要用到SAN证书。可以访问minio页面,但是登录不上。其他系统添加证书到根证书请看。发现这个可以生成SAN证书。再次启动minio就可以了。看了下minion官方。生成后启动minio。
docker拉镜像报错Error response from daemon: Get “xx“: tls: failed to verify certificate: x509: certificat
空山新雨后,天气晚来秋
03-13 1515
docker拉镜像报错:Error response from daemon: Get "https://harbor.x.com/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
harbor登录报错汇总
weixin_44515412的博客
10-14 1862
【代码】harbor登录报错汇总。
docker应用篇(3):搭建Docker私服镜像中心
不积跬步,无以至千里
04-14 3041
前言 Dockerhub是docker官网的仓库,国内的加载速度比较慢。搭建一个私有的镜像仓库,提高速度,保存私有的镜像文件。 docker提供了registry 镜像用于私有仓库的搭建。 如何搭建私有仓库 修改配置 vim /etc/docker/daemon.json 添加信任的私服 { "insecure-registries": ["106.13.2.249:5000"] } 2. 重新加载配置和重启 # 重新加载某个服务的配置文件 systemctl daemon-reload # 重

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值