Utworzenie rejestru Docker z certyfikatem Letsencrypt

Question

mam powołaniu rejestr domeny jak opisano tutaj:

https://docs.docker.com/registry/deploying/

I wygenerowany certyfikat dla docker.mydomain.com i rozpoczął docker używając ich na komendę mój serwer:

docker run -d -p 5000:5000 --restart=always --name registry \ 
    -v `pwd`/certs:/certs \ 
    -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ 
    -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \ 
    registry:2 

zacząłem się docker i wskazał certyfikatów i uzyskano stosując letsencrypt (https://letsencrypt.org/).

Teraz, gdy przejdę na stronę https://docker.mydomain.com:5000/v2/, otrzymam stronę z samym "{}", z zieloną blokadą (pomyślne, bezpieczne żądanie strony).

Ale gdy próbuję zrobić docker login docker.mydomain.com:5000 z innego serwera widzę błąd w dokowanym rejestru:

TLS handshake error from xxx.xxx.xxx.xxx:51773: remote error: bad certificate 

Ja spróbowałem kilka różnych odmian w tworzeniu certyfikatów i gotten błędy takie jak:

remote error: unknown certificate authority 

i

Czego mi brakuje?

Answer 1

dokowane szwy nie wspierać SNI: https://github.com/docker/docker/issues/9969

Aktualizacja: Docker teraz powinny wspierać Sni.

To oznacza, że ​​podczas łączenia się z serwerem podczas transakcji tls klient dokowania nie określa nazwy domeny, więc serwer wyświetla domyślny certyfikat.

Rozwiązaniem może być zmiana domyślnego certyfikatu serwera na taki, który jest ważny dla domeny docker.

Ta strona działa tylko w przeglądarkach z obsługą SNI.

Aby sprawdzić, czy twoja domena (pod-) współpracuje z klientami, a nie z SNI, możesz użyć ssllabs.com/ssltest: Jeśli nie zobaczysz komunikatu "Ta strona działa tylko w przeglądarkach z obsługą SNI.", To to zadziała.