5

我正在设置一个域注册表,如此处所述:

https://docs.docker.com/registry/deploying/

我为 docker.mydomain.com 生成了一个证书,并在我的服务器上使用他们的命令启动了 docker:

docker run -d -p 5000:5000 --restart=always --name registry \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2

我已经启动了 docker 并指向了我使用letsencrypt ( https://letsencrypt.org/ ) 获得的证书。

现在,当我浏览到https://docker.mydomain.com:5000/v2/时,我将获得一个只有“{}”的页面,并带有绿色锁(成功的安全页面请求)。

但是,当我尝试docker login docker.mydomain.com:5000从不同的服务器执行操作时,我在注册表 docker 中看到一个错误:

 TLS handshake error from xxx.xxx.xxx.xxx:51773: remote error: bad certificate

我在设置证书时尝试了一些不同的变体,并得到了如下错误:

remote error: unknown certificate authority


 tls: first record does not look like a TLS handshake

我错过了什么?

4

1 回答 1

5

Docker 接缝不支持SNIhttps ://github.com/docker/docker/issues/9969

更新:Docker 现在应该支持 SNI。

这意味着,在 tls 事务期间连接到您的服务器时,docker 客户端不指定域名,因此您的服务器显示默认证书。

解决方案可能是将服务器的默认证书更改为对 docker 域有效的证书。

此站点仅适用于支持 SNI 的浏览器。

要检查您的(子)域是否适用于不支持 SNI 的客户端,您可以使用 ssllabs.com/ssltest:如果您没有看到消息“此站点仅适用于支持 SNI 的浏览器。”那么它将起作用。

于 2016-01-09T15:45:26.720 回答