私有CA服务器的搭建

私有CA服务器的搭建,第1张

首先在根CA进行签署自证证书,然后子CA向根CA申请证书,根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者,相对于web服务器申请者是签署者,所以子CA是两个身份,既是申请者又是签署者。三者之间的关系一定要搞清楚,否则在搭建的时候容易出现混乱。

配置文件 /etc/pki/tls/openssl.cnf 省略了一部分配置文件只保留了有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件,此配置文件对于证书申请者是无作用的。

我在搭建CA服务器时就是因为对目录结构不清晰,导致搭建失败。所以在搭建之前要把最重要两个目录结构搞清楚。

/etc/pki/CA/cacert.pem就是生成的自签名证书文件,使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构。

再次将证书传到windows电脑中,双击查看此证书,可以看到是ca.aubin.red颁发给subca.centos9.top的证书。显示此证书是正常的可用的前提是要将之前的证书安装好可信的根证书路径。

同时也将子CA的证书安装到电脑中后,子CA就可以给其他申请者签署证书了。

网上方法千奇百怪,长篇大论看得心累,所以我希望三步之内解决这件事,那么开始吧。

你需要安装1.6.0以上的版本的 Docker 。

如果要使用域名绑定私有仓库,必须开启SSL。

生成下面文字即为成功:

克隆仓库。

编辑配置。

模板如下:

移动你的证书到 cert/ 目录。

备份一下原文件,使用https配置。

然后 vim nginx.conf ,要改的地方很少,如下:

没有问题的话已经运行起来了~~

现在你可以通过域名pull镜像了:

新建一个文件夹以便管理。

填写下面的内容到docker-compose.yml:

移动证书到自定义目录:

然后配置Nginx文件即可:

域名修改一下,复制粘贴即可。

现在你可以通过域名pull镜像了:

官方文档: Deploying a registry server


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/540232.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-26
下一篇2023-06-26

发表评论

登录后才能评论

评论列表(0条)

    保存