使用 Letsencrypt 证书设置 Docker 注册表

Question

我正在按照此处所述设置域注册表：

https://docs.docker.com/registry/deploying/

我为 docker.mydomain.com 生成了证书并在我的服务器上使用他们的命令启动了 docker：

docker run -d -p 5000:5000 --restart=always --name registry \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

我已经启动 docker 并指向我使用 letsencrypt (https://letsencrypt.org/) 获得的证书。

现在，当我浏览 https://docker.mydomain.com:5000/v2/ 时，我会看到一个只有“{}”的页面，带有绿色锁（成功的安全页面请求）。

但是当我尝试从另一台服务器执行 docker login docker.mydomain.com:5000 时，我在注册表中看到一个错误 docker：

 TLS handshake error from xxx.xxx.xxx.xxx:51773: remote error: bad certificate

我在设置证书时尝试了一些不同的变体，但遇到了如下错误：

remote error: unknown certificate authority

和

 tls: first record does not look like a TLS handshake

我错过了什么？

Answer 1

Docker 接缝不支持 SNI : https://github.com/docker/docker/issues/9969

更新：Docker现在应该支持 SNI。

这意味着，在tls交易过程中连接到您的服务器时，docker客户端没有指定域名，所以您的服务器显示默认证书。

解决方案可能是将服务器的默认证书更改为对 docker 域有效的证书。

此站点仅适用于支持 SNI 的浏览器。

要检查您的（子）域是否与不 SNI-aware 的客户端一起使用，您可以使用 ssllabs。com/ssltest：如果您没有看到消息，"This site works only in browsers with SNI support. " 那么它将有效。

使用 Letsencrypt 证书设置 Docker 注册表

Setting up a Docker registry with Letsencrypt certificate

ssl

https

ubuntu-14.04

docker-registry

lets-encrypt