如何解决 docker registry x509 证书不信任问题？

使用自签名证书启用极狐GitLab 内置的容器镜像仓库，会出现 x509 证书不受信任问题，教你如何通过配置来解决。

DevOps008

601人浏览 · 2024-02-01 23:25:16

DevOps008 · 2024-02-01 23:25:16 发布

最近想尝试一下极狐GitLab（可以理解为 GitLab 在中国的发行版）内置的容器镜像仓库，这样就不用自己安装 Harbor 之类的了。于是找了个服务器安装了一个极狐GitLab 的私有化部署版本，安装过程可以参考过往的技术文章使用Omnibus 安装极狐GitLab。

极狐GitLab 私有化实例部署成功以后，接下来就需要启用内置的容器镜像仓库了。需要在 /etc/gitlab/gitlab.rb 文件中对于容器仓库的配置内容进行修改：

registry_nginx['enable'] = true
registry_nginx['listen_port'] = 5050

registry_external_url 'http://jihu-instance.url:5050'
gitlab_rails['registry_enabled'] = true
gitlab_rails['registry_host'] = "jihu-instance.url"
gitlab_rails['registry_port'] = "5005"
gitlab_rails['registry_path'] = "/var/opt/gitlab/gitlab-rails/shared/registry"

为了使用上的安全，想给容器镜像仓库启用 HTTPS，所以需要配置 SSL 证书。在这个过程中，使用自签名的证书，以下三个命令即可生成对应的 csr、cert 和 key，将生成在证书都放在 /etc/gitlab/ssl 目录下面，注意 ssl 目录的权限应该为 755.

$ openssl genrsa -out ca.key 2048

$ openssl req -new -x509 -days 365 -key ca.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jh-instance.url" -out ca.crt

$ openssl req -newkey rsa:2048 -nodes -keyout jh-instance.url.key -subj "/C=CN/ST=LN/L=DL/O=JH/CN=jhma.jihulab.net" -out jh-instance.url.csr

$ openssl x509 -req -extfile <(printf "subjectAltName=DNS:jh-instance.url,DNS:www.jh-instance.url") -days 365 -in jh-instance.url.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out jh-instance.url.crt

接着在 /etc/gitlab/gitlab.rb 配置文件中写入证书配置信息：

registry_nginx['ssl_certificate'] = "/etc/gitlab/ssl/jh-instance.url.crt"
registry_nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/jh-instance.url.key"

配置完成以后需要执行 gitlab-ctl reconfigure 让配置生效。

接着将如下内容写入 .gitlab-ci.yml 文件进行测试：

component-job-build-image:
  image: 
    name: docker:20.10.7-dind
  stage: build
  script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
    - docker build -t $CI_REGISTRY_IMAGE:1.0.0 .
    - docker push $CI_REGISTRY_IMAGE:1.0.0

触发 CI/CD 流水线，会遇到如下错误：

tls: failed to verify certificate: x509: certificate signed by unknown authority 这句话的意思也就是说自签名的这个 x509 证书，docker 不信任。为了解决这个问题，需要在 daemon.json 文件中写入如下内容：

{
    "insecure-registries" : [ "jh-instance.url:5050" ]
}

然后重启 docker

$ systemctl daemon-reload
$ systemctl restart docker

然后重新执行流水线，就可以看到 Job 会执行成功：

至此，使用自签名证书启用极狐GitLab 内置的容器镜像仓库所带来的 x509 证书不受信任的问题就解决了。

AtomGit 开源协作平台测评赛

瓜分20万奖金获得内推名额丰厚实物奖励易参与易上手

更多推荐

C#联合Halcon深度学习源代码分享1 预处理图像2图像识别测试3误差分析（含导入步骤文档，含中文注释）（附源码链接）

开放原子开发者工作坊

Git基础命令学习

git基础命令学习笔记git init 命令目录变成 Git 可以管理的仓库git add 把文件添加到仓库(可多次add不同的文件)git commit 把文件提交到仓库git satus 命令查看状态，可以让我们时刻掌握仓库当前的状态git diff可以看到指定文件的修改内容

开放原子开发者工作坊

SpringBoot01:Hello,World

开放原子开发者工作坊

所有评论(0)

查看更多评论

DevOps008

@DevOps008

已为社区贡献2条内容