Moby: 개인 레지스트리 액세스: x509: 알 수 없는 기관에서 서명한 인증서

@hustcat Docker 1.3.1부터 --insecure-registry dev.registry.com:5000 를 수행할 수 있습니다. 레지스트리가 수신 대기 중인 포트로 5000을 바꿀 수 있습니다.

지금 닫고 있지만 문제가 해결되지 않으면 댓글로 알려주세요.

나는 이것을 이해하는 데 몇 분이 걸렸고 누군가 시간을 절약할 수 있습니다. 명령은 다음과 같습니다.

%> docker --insecure-registry=docker-registry.example.com:8080 login https://docker-registry.example.com:8080

1.3에 대한 스위치를 배치해 주셔서 감사합니다!

나는 같은 문제에 직면 해있다. 인증서 유효성 검사는 ping(및 푸시/풀링)에 대해 작동하지만 로그인에는 작동하지 않습니다.

--insecure-registry 플래그는 해결 방법이지 수정 사항이 아닙니다. CA 인증서가 /etc/docker/certs.d/<registry> 로드되면 인증서 유효성 검사가 작동해야 하지만 작동하지 않습니다.

--insecure-registry RedHat 7에서 docker 1.3.2를 사용 중입니다.

[ root@ip-10-2-20-209 ec2-user]# docker --insecure-registry=qa.docker.repo 로그인 https://qa.docker.repo
사용자 이름: qa
비밀번호:
이메일: [email protected]
2015/01/19 14:26:40 데몬의 오류 응답: 서버 오류: Post https://qa.docker.repo/v1/users/ : x509: 알 수 없는 기관에서 서명한 인증서

생성된 ca.pem 파일을 사용할 때 curl이 제대로 작동합니다.

컬 --cacert /home/ec2-user/ca.pem -u qa:xxxxx https://qa.docker.repo/v1/users/
"좋아요"

docker 버전 1.3.2 및 opensuse 13.1에서 동일한 문제가 있습니다. 모든 컬 호출에 --cafile cacert.pem을 정적으로 전달하려고 시도했지만(도커가 내부적으로 컬을 사용한다고 가정했기 때문에) 이 방법도 도움이 되지 않았습니다.

도움을 주시면 감사하겠습니다.

감사 해요.
마리오

이 문제를 발견하기 전에 #10150을 열었습니다. 그들은 같은 문제로 보입니다.

나는 같은 문제가있는 것 같습니다. Archlinux 클라이언트 1.4.1 및 공식 도커 컨테이너에서 실행되는 레지스트리. 생각이 있으신 분 계신가요?

ca-certificates를 통해 전역으로 인증서를 설치한 경우 전역 SSL 인증서를 다시 로드하지 않으므로 도커를 다시 시작해야 합니다. 즉, 내 것은 여전히 ​​작동하지 않지만 직장에서 만났습니다. :)

grimmy에게 감사를 표합니다. 결국에는 속임수를 썼고 마침내 작동합니다. 나는 했다:

1. http://curl.haxx.se/docs/caextract.html 에서 cacert.pem을 가져옵니다
2. cacert.pem 파일을 /etc/pki/trust/anchors/에 복사합니다.
3. sudo update-ca-certificates
4. sudo systemctl 도커 중지
5. sudo systemctl 도커 시작

마리오

감사합니다. 저에게도 효과가 있었습니다. Ubuntu/Debian에서 해당 단계:

1. CA 인증서를 /usr/local/share/ca-certificates 복사합니다.
2. sudo update-ca-certificates
3. sudo 서비스 도커 재시작

그러나 여기에는 여전히 버그가 있습니다. 문서에는 /etc/docker/certs.d/<registry> 에 CA 인증서를 설치하라고 나와 있으며, 분명히 충분하지 않습니다. 실제로 인증서를 전역적으로 설치한 후 /etc/docker/certs.d 에서 인증서를 제거하고 Docker를 다시 시작했는데 여전히 작동했습니다.

@rhasselbaum이 언급했듯이 이것을 다시 열면 +1

--insecure-registry가 사라졌습니까?

$ docker --version
Docker version 1.8.2, build 0a8c2e3

$ docker --insecure-registry
flag provided but not defined: --insecure-registry
See 'docker --help'.

이제 무엇을 사용해야 합니까?

도커 구성 파일로 이동하여 설정되었는지 확인할 수 있습니다.
도커 프로세스에서 --insecure-registry 플래그가 표시되어야 합니다.

2015년 9월 16일 수요일 오전 3:01, Chris Withers 알림 @github.com
썼다:

--insecure-registry가 사라졌습니까?

$ 도커 --버전
Docker 버전 1.8.2, 빌드 0a8c2e3

$ docker --insecure-registry
플래그가 제공되었지만 정의되지 않음: --insecure-registry
'도커 --help'를 참조하세요.

이제 무엇을 사용해야 합니까?

—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/docker/docker/issues/8849#issuecomment -140693481.

docker pull 명령에 대해 동일한 오류가 발생했으며 다음이 작동해야 한다고 생각합니다.
'.crt' 파일인 SSL 인증서를 디렉토리에 복사합니다.

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
Ubuntu가 /usr/share/ca-certificates와 관련된 '.crt' 파일의 경로를 /etc/ca-certificates.conf에 추가하도록 합니다.

sudo dpkg-reconfigure ca 인증서

시스템 상태가 중요하지 않은 경우 docker-machine rm <machine-name> 하고 다른 상태를 만들 수 있습니다 ;)

LetsEncrypt를 사용하고 적절한 TLS 없이 아무 것도 실행하지 않으려면 중간(예: REGISTRY_HTTP_TLS_CERTIFICATE=.../fullchain.pem)을 포함한 인증서의 전체 체인을 제공해야 합니다. Docker의 이 오류.

건배!

우분투에서. 오류가 발생하는 경우:

• x509: [IP 주소 또는 도메인 이름]에 대한 인증서의 유효성을 검사할 수 없습니다. IP SAN이 포함되어 있지 않기 때문입니다.

Docker 레지스트리에서 인증서는 여기에 설명된 대로 subjectAltName으로 컴파일되어야 했습니다.
https://docs.docker.com/engine/security/https/

편의를 위한 코드는 다음과 같습니다.
$ echo subjectAltName = IP:10.10.10.20,IP:127.0.0.1 > extfile.cnf
$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf

참고로 다음 명령을 사용하여 인증서에 주체 대체 이름이 있는지 확인할 수 있었습니다.
openssl x509 -in certificate.crt -text -noout

그러나 Ubuntu 14 클라이언트(예: Docker Engine)에서는
이 오류는 다음으로 이어졌습니다.
x509: 알 수 없는 기관에서 서명한 인증서

Ubuntu 14를 사용하는 사람들을 위해.
Docker 엔진에 사용되는 구성 파일(Docker Registry에 연결하는 데 사용하려는):
/etc/default/도커

거기에서 도커 옵션을 지정해야 합니다.
DOCKER_OPTS = "- 불안 - 레지스트리 myinsecure. co.kr에서 : 5000 "

그런 다음 데몬을 다시 시작합니다(사용자가 도커 서비스를 시작할 수 없는 경우 sudo 추가).
$ [sudo] 서비스 도커 재시작

값은 도메인 이름일 필요는 없으며 인증서가 등록된 것과 일치하기만 하면 됩니다. 포트가 있는 IP 주소가 있고 이것이 작동합니다... (예: 100.100.100.100:100)

이 모든 것이 나에게 하루가 걸렸으므로 다른 사람들에게 유용하기를 바라면서 이것을 게시합니다 ...

@JazzDeben 의견 감사합니다! 굉장히 유용하다 ! Let's Encript certbot 생성 인증서를 사용하여 수행하는 방법을 잘 모르겠습니다.
레지스트리 서버에서 이 오류가 발생합니다.

tls: client didn't provide a certificate

Chrome에서 ERR_BAD_SSL_CLIENT_AUTH_CERT 에 대해 불평합니다.
내가 포함한다면

  tls:
...
    clientcas:
      - /path/to/ca.pem

@cjw296 RHEL7.2의 경우 /usr/lib/systemd/docker.service 파일을 편집하고 ExecStart 행에 --insecure-registry=your.docker.registry.com .

< ExecStart=/usr/bin/dockerd
---
> ExecStart=/usr/bin/dockerd --insecure-registry=your.docker.registry.com

그런 다음 sudo systemctl daemon-reload 를 실행하여 구성 변경 사항을 선택한 다음 sudo systemctl restart docker . 이제 작동합니다.

솔직히 말해서, 나는 여전히 체계화된 멍청이이고 아마도 이것을 더 깔끔하게 할 수 있는 더 좋은 방법이 있을 것입니다. 하지만 너무 오랫동안 이 문제로 어려움을 겪었고 해결 방법을 게시하고 싶었습니다. 저를 올바른 방향으로 이끌어주신 @cdub50님 감사합니다.

@david-drinn Fedora 25의 경우 비슷한 작업을 수행했지만 docker daemon config ( in /usr/lib/systemd/system/docker.service ) 소스 설정이 구성 파일에서 설정되었기 때문에 /etc/sysconfig/docker 에서 변경했습니다.

< # INSECURE_REGISTRY='--insecure-registry='
---
> INSECURE_REGISTRY='--insecure-registry=your.docker.registry.com'

curl이 작동하고 docker가 작동하지 않으면 다음을 수행할 수 있습니다.
o "/etc/docker/certs.d//..." 디렉토리 및 파일(개인 레지스트리에만 유효합니까?)
o "/etc/docker/daemon.json" 파일에 "tlscert" 항목을 추가하여 dockerd가 curl과 동일한 인증서를 사용하도록 합니다.

이 문제가 발생하고 자체 서명된 인증서가 있고 "insecure-registry" 지시문을 사용하지 않으려는 경우 자체 서명된 인증서를 /etc/docker/certs.d/{host}/ 에 로드해야 합니다. 그것들을 로드한 후에는 도커 데몬을 다시 시작하는 것을 기억하십시오. 좀 더 자세히 설명하자면.....

레지스트리가 https://exampleregistry.com 에서 호스팅되는 경우 자체 서명된 인증서가 포함된 /etc/docker/certs.d/exampleregistry.com 라는 디렉토리가 있어야 합니다. 이제 x509 오류 없이 docker login exampleregistry.com 를 수행할 수 있습니다.
이제 이 모든 것에 대한 주의 사항이 있습니다. 어떤 이유에서인지 docker login exampleregistry.com:443 와 같이 로그인 명령에서 포트를 명시적으로 정의하고 싶다고 가정해 보겠습니다. 자체 서명된 인증서가 /etc/docker/certs.d/exampleregistry.com:443/ 폴더 안에 있는지 확인합니다. Docker는 포트를 사용할 때만 호스트 이름을 기반으로 확인하는 인증서에 대해 가정하지 않습니다. 액세스하려는 포트가 포함된 폴더 이름에 자체 서명된 인증서를 로드하여 포트별로 실제로 인증서를 제공해야 합니다.

이것이 포트를 사용하여 도커 레지스트리에 연결하는 많은 디버깅을 절약할 수 있기를 바랍니다.

제 경우에는 해결되지 않았습니다.
nexus OSS 저장소에 자체 서명된 인증서를 사용하고 싶습니다. 하지만 다음 오류가 발생합니다. 데몬의 오류 응답: Get https://:10250/v1/users/: x509: 알 수 없는 기관에서 서명한 인증서

.crt 파일을 /etc/docker/certs.d 및 /usr/share/ca-certificates를 내 우분투 16.04 om 인텔 시스템에 배치했습니다. 그런 다음 update-ca-certificates를 실행하고 docker를 다시 시작했습니다. 이것은 내 인증서 파일 nexus.cert입니다.
$ openssl x509 - nexus.crt - 텍스트

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=IN, ST=State, L=City, O=XYZ, OU=x, CN=<mydomain.com>
        Validity
            Not Before: Jul 17 20:28:26 2017 GMT
            Not After : Jul 17 20:28:26 2018 GMT
        Subject: C=IN, ST=State, L=City, O=XYZ, OU=x, CN=<mydomain.com>
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    00:b8:2c:97:c2:e4:bf:7a:e1:49:22:9b:a2:90:7a:
                    3a:de:3d:d3:f5:e9:c9:8b:9b:c8:13:37:4b:36:32:
                    4f:a7:0d:b9:53:4c:f4:10:fa:e7:d2:64:a5:e9:0a:
                    32:49:c3:aa:f8:2c:27:82:94:85:c3:11:07:a7:d0:
                    6c:0a:4a:45:66:94:cb:d3:27:28:cd:58:43:5b:f9:
                    e1:66:97:52:81:be:03:53:d5:e1:84:0c:4f:89:fd:
                    78:6d:8f:88:cf:29:af:6d:14:2e:2e:dc:d4:f3:87:
                    1c:73:5e:35:cb:d2:95:58:20:55:c0:f5:89:e1:40:
                    64:16:cd:25:a8:bd:6b:6a:9c:21:b0:97:d2:67:63:
                    5c:3c:4a:2c:21:1a:72:3a:68:c6:a0:e2:ea:4d:f8:
                    db:bd:02:81:93:db:60:51:ad:6e:bf:d7:7d:45:43:
                    95:e1:a5:d7:de:36:76:7c:a4:d7:4a:7f:b2:b1:98:
                    75:7d:27:2c:1d:ad:03:1b:5f:8a:ac:12:5e:76:9c:
                    2a:f7:03:b0:51:6c:23:a4:df:08:1f:02:0c:42:b6:
                    ff:7f:33:16:b0:86:fc:92:e7:db:7a:3b:a2:70:30:
                    f4:79:fa:f1:0f:75:0f:32:69:79:97:73:f4:de:11:
                    3e:bf:f8:63:49:21:dc:02:c6:ef:de:91:74:03:6d:
                    21:56:2e:c6:04:d1:02:30:73:6e:52:c7:93:07:6c:
                    f9:98:ff:1c:cc:dd:da:c7:45:2e:7b:ab:04:33:fe:
                    39:6c:5d:d5:dd:46:ae:25:d6:fd:9d:01:ae:8a:e8:
                    14:18:cc:6e:64:e4:11:8a:ce:3d:30:56:6d:0c:a7:
                    83:90:6c:f5:14:36:16:39:cc:10:7a:db:35:f6:9c:
                    68:da:84:f6:9c:07:d0:3e:b7:52:54:03:75:9a:ae:
                    eb:79:b5:5f:cb:10:cf:25:08:ae:f7:b3:13:79:f4:
                    4a:98:72:08:e3:23:e2:22:a1:31:47:41:ec:a4:76:
                    42:db:1c:46:31:3c:a2:14:14:94:bf:4f:1e:1f:85:
                    a0:9c:4c:3d:af:92:7a:90:d1:ad:23:f0:ea:3e:7d:
                    b4:21:79:f9:82:3a:16:04:42:60:b8:5d:15:1c:48:
                    9b:1e:b5:9b:0d:1f:aa:56:aa:a2:1a:a5:6f:ef:ab:
                    2a:22:6d:05:19:c0:2b:dc:46:c4:c2:4a:f8:89:25:
                    fc:dc:e6:ab:7b:8a:76:de:47:a3:e2:00:0e:d7:e8:
                    bd:86:86:d3:8d:6b:56:63:bf:40:1e:31:d7:74:fe:
                    63:fc:7e:e2:9f:21:31:1d:39:2a:44:a5:56:fd:dd:
                    66:5e:c2:4f:94:c7:ee:26:89:1a:d1:6b:13:00:f6:
                    4f:72:9b
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         25:26:77:55:50:0a:66:39:5f:79:c7:5e:af:5f:54:e2:92:6f:
         62:e5:90:3a:0f:de:9b:7a:02:df:66:47:c5:71:61:91:c4:74:
         ba:0e:55:34:47:0b:72:c5:f5:27:5d:d0:d6:06:a9:f7:5c:d5:
         41:30:4c:0f:0b:3a:3c:64:13:a0:28:9b:10:92:0e:c8:eb:e8:
         0f:00:ba:54:9d:d4:7a:8c:cd:f7:91:a9:55:69:0f:9b:12:77:
         e9:f2:28:c8:cb:07:d4:ab:a4:eb:b2:3d:ae:b4:6d:7a:15:85:
         cb:07:f6:e3:6b:58:1c:26:0a:ad:d5:e6:7c:b7:e7:19:6c:d1:
         31:80:5e:cb:17:85:88:a2:6c:fc:fe:3c:28:1f:f9:87:a6:0f:
         f6:85:d2:c0:76:25:fb:52:2f:8a:99:0c:88:4e:bd:84:6b:da:
         81:b4:41:f1:bf:1c:e7:7d:93:a5:e2:d7:66:8a:63:bf:9c:c4:
         ad:ea:cb:c4:c6:7d:1f:95:35:87:60:8b:e8:23:e8:4e:36:43:
         5e:86:de:c4:35:e0:29:7a:93:90:a4:9b:c3:d1:8e:13:55:9f:
         ea:ab:52:0a:a8:a0:54:cf:f4:5e:ff:12:40:09:43:3c:e7:55:
         e7:c1:de:62:ce:21:39:f5:d3:51:7a:92:f2:b2:3c:75:8c:1f:
         bd:aa:13:63
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

@abdasgupta : 저장소를 "말릴" 수 있습니까?
그렇다면 어떤 인증서의 파일 컬이 사용 중인지 확인하고 동일한 파일을 사용하기 위해 daemon.json 파일을 편집하십시오.
제 경우에는 다음과 같습니다.
[ root@localhost ]# 고양이 /etc/docker/daemon.json
{ "안전하지 않은 레지스트리":["registry-1.docker.io/v2:5000"],
"디버그": 참,
"tlscert": "/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem" <<<<======
}

안전하지 않은 레지스트리를 사용하고 싶지 않았습니다. 그것 없이는 실행할 수 없습니까? 또한 인증서는 repo의 것과 동일합니다. cz 거기에서 복사했습니다.

안전하지 않은 레지스트리 없이 실행할 수 있다고 생각합니다. "curl" 명령으로 저장소에 도달할 수 있습니까?
친애하는.

De : Abhishek Dasgupta [mailto:[email protected]]
특사 : 마디 18 juillet 2017 18:30
À : 모비/모비
참조: 프레데릭 카스텔랭; 논평
Objet : Re: [moby/moby] 개인 레지스트리 액세스: x509: 알 수 없는 기관에서 서명한 인증서(#8849)

안전하지 않은 레지스트리를 사용하고 싶지 않았습니다. 그것 없이는 실행할 수 없습니까? 또한 인증서는 repo의 것과 동일합니다. cz 거기에서 복사했습니다.

—
당신이 댓글을 달았기 때문에 이것을 받는 것입니다.
이 이메일에 직접 회신하거나 GitHub https://github.com/moby/moby/issues/8849#issuecomment-316120117 에서 확인하거나 스레드 https://github.com/notifications/unsubscribe-auth/ANGcvLAxGE34n7fSByG0svUJry3vtZTAR7ks5

알림: 이 이메일(첨부 파일 포함)에는 개인 정보, 기밀 정보 또는 법적 권한이 있는 정보 또는 자료가 포함될 수 있으며 수신인만 사용할 수 있습니다. 본 메일을 잘못 수신하셨다면 복사하지 말고 시스템에서 삭제하시고 즉시 회신 메일로 발신인에게 알려주시기 바랍니다. 이 메시지의 무단 사용 또는 공개는 엄격히 금지됩니다. STEF는 이 전송의 무결성을 보장하지 않으므로 메시지가 변경되거나 위조되거나 바이러스, 가로채기 또는 시스템 손상에 대해 책임을 지지 않습니다.

AVIS : Ce message (y compris toutes pièces jointes) peut contenir des informations privées, secretielles et est pour l'usage du(es) destinataire(s) destinataire(s). Si vous avez reçu ce message par erreur, merci d'en avertir l'expéditeur par retour d'email immédiatement et de procéder à la destroy de l'ensemble des éléments reçus, dont vous ne devez copie garder aucune 선전 확산, 활용 ou copy de ce message ou des renseignements qu'il contient par une personne autre que le(les) destinataire(s) désigné(s) est interdite. STEF ne garantit pas l'intégrité de cette transmission et ne saurait être tenu responsable du message, de son contenu, de toute modifying ou falsification, d'une interception ou de dégâts à votre système.

@abdasgupta , 17.03.1~ce-0~ubuntu-xenial 버전은 작동하지 않지만 17.06.0~ce-0~ubuntu 버전은 작동하는 것으로 나타났습니다.

/usr/local/share/ca-certificates/my-org/my-domain.crt crt를 넣은 다음 sudo update-ca-certificates 및 sudo systemctl restart docker 합니다.

https://docs.docker.com/v17.03/engine/security/certificates/ 의 지침을 따르시겠습니까? Docker 1.13 이상은 시스템 기본값에서 인증서도 읽어야 합니다.

사용자 지정 인증서는 레지스트리의 호스트 이름과 동일한 이름을 사용하여 /etc/docker/certs.d 아래에 디렉토리를 생성하여 구성됩니다(예: localhost ). 모든 *.crt 파일은 이 디렉토리에 CA 루트로 추가됩니다.

인증서를 구성한 후 데몬을 다시 시작해야 할 수 있습니다.

/etc/docker/certs.d 솔루션으로 어려움을 겪고 있는 사람을 위해 해당 디렉토리 이름에 레지스트리 포트가 포함되어 있는지 확인하십시오. 따라서 /etc/docker/certs.d/myregistry.net:8443 .

Photon OS에서 잘 작동했습니다.

/etc/docker/certs.d/myregistry/ ca.crt 대신 /etc/docker/certs.d/myregistry/ ca.pem 파일의 이름을 지정할 때까지 이 오류로 고생

Windows 탐색기( ca.pem 가 ca.crt 로 이름 변경됨) 및 Right-Click > Install Certificate 에서 내 인증 기관을 사용하도록 제안 하는 문서를 볼 때까지 Windows에서 동일한 문제가 발생했습니다 ca.pem 현재 사용자의 신뢰할 수 있는 루트 인증 기관. 도커를 다시 시작했고 작동했습니다.

coreos에서는 편집해야했습니다.
/etc/docker/daemon.json
{ "insecure-registries": ["registry:8443"] }
그럼 sudo systemctl restart docker

힌트: 프록시를 통해 개인 저장소에 도달하면 동일한 오류 메시지가 표시되거나 프록시를 비활성화하거나 개인 레지스트리 호스트에 대해 예외(NO_PROXY)를 구성할 수 있습니다.

Rancher에서 Kubernetes POD로 docker-registry를 실행하고 있습니다. L7 Ingress를 구성했으며 SSL 인증서가 거기에 있습니다. 웹 브라우저에서 액세스할 때 SSL에 문제가 없고 로그인 자격 증명이 제대로 작동합니다. 하지만 docker 로그인 명령을 실행하면 x509: 인증서가 알 수 없는 기관에서 서명한 것을 얻습니다. 이 인증서는 가짜 SSL 자체 서명 인증서로 기본 수신 백엔드를 얻으려고 한다고 생각합니다. 도움이되는지 확인하기 위해 컴퓨터에서 도커를 다시 시작하고 있습니다.

그것은 작동했습니다 .... 두 개의 호스트 이름에 대한 새 SSL 인증서를 지원하기 위해 수신에서 약간 변경했습니다.
내 노트북에서 도커를 다시 시작한 후에도 여전히 동일한 문제 :(

안녕 Bro.. 이 문제는 내 문제와 동일합니다.
Openshift는 nexus 저장소에 대한 이미지를 가져올 수 없습니다. 구문은 다음과 같습니다.
oc import-image nexus- coba:3.5 --from=192.168.250.250:8083/node-nexus --confirm
오류: 최신 태그 실패: 내부 오류 발생: https://192.168.250.250 가져 오기:8083/v2/: x509: 알 수 없는 기관에서 서명한 인증서
imagestream.image.openshift.io/nexus-coba 가져오기 오류
이 솔루션은 --confirm 뒤에 --insecure만 추가합니다.

oc import-image nexus- coba:3.5 --from=192.168.250.250:8083/node-nexus --confirm --insecure

감사합니다. 저에게도 효과가 있었습니다. Ubuntu/Debian에서 해당 단계:

1. Copy CA cert to `/usr/local/share/ca-certificates`.

2. sudo update-ca-certificates

3. sudo service docker restart

그러나 여기에는 여전히 버그가 있습니다. 문서에는 /etc/docker/certs.d/<registry> 에 CA 인증서를 설치하라고 나와 있으며, 분명히 충분하지 않습니다. 실제로 인증서를 전역적으로 설치한 후 /etc/docker/certs.d 에서 인증서를 제거하고 Docker를 다시 시작했는데 여전히 작동했습니다.

정말 감사합니다! 나는 당신이 설명하는 것을 정확히하고 있었고 공식 문서에서 내 머리카락을 잘못 뽑았습니다 ... :)

나는 그것을 믿지 않는다! 5년 후에도 여전히 사실입니다. 솔루션에 감사드립니다.

감사합니다. 저에게도 효과가 있었습니다. Ubuntu/Debian에서 해당 단계:

1. Copy CA cert to `/usr/local/share/ca-certificates`.

2. sudo update-ca-certificates

3. sudo service docker restart

그러나 여기에는 여전히 버그가 있습니다. 문서에는 /etc/docker/certs.d/<registry> 에 CA 인증서를 설치하라고 나와 있으며, 분명히 충분하지 않습니다. 실제로 인증서를 전역적으로 설치한 후 /etc/docker/certs.d 에서 인증서를 제거하고 Docker를 다시 시작했는데 여전히 작동했습니다.

nginx에서도 레지스트리 도커 이미지에 인증서를 설치해야 한다는 의미인가요?

Docker-Desktop 아이콘 -> 환경 설정 -> 데몬 -> "안전하지 않은 레지스트리"에서 + 아이콘을 클릭합니다.
"your-registry.com" 리포지토리 추가
"적용 및 다시 시작"을 클릭하십시오.

자세한 내용은 https://forums.docker.com/t/docker-private-registry-x509-certificate-signed-by-unknown-authority/21262/6 을 참조하십시오.