我正在嘗試在兩個虛擬機(用於HA)上set up a secure Docker Registry,並對設置SSL有疑問。根據該文檔鏈接,我需要有一個certs
目錄,在這兩個文件:如何將JKS轉換爲Docker Registry cert/key?
registry.crt
- 將CA證書registry.key
- ??? (私鑰?)
我給了一個Java JKS(keystore),其中包含一個可用於這些VM的通配CA證書。我能夠成功導出證書出來的密鑰庫的像這樣:
keytool -export -alias certalias -file registry.crt -keystore mycerts.jks
到目前爲止好:我有registry.crt
。但是一些相關的問題/擔憂阻止我完成這個設置:
- 什麼
*.key
文件,它是如何比證書不同,我怎麼從JKS提取呢? - Docker/Registry在每個虛擬機上預計這個目錄是
certs
?也許/home/myuser/
?這個位置是否可配置?!? - 正如鏈接所解釋的,如果您的CA證書是「中介」證書,則需要採取特殊的附加措施。我怎麼知道我的證書是否是中介?
感謝@musiKk(+1) - 如果您不介意的話,兩個快速跟進:(1)將此「*導出到PKCS12,然後使用OpenSSL導出私鑰*」如果證書不是自簽名? (2)我開始明白什麼是中介證書,但他們有什麼意義?爲什麼不使用CA0簽署的衆所周知的自簽名證書?我想我只是不明白「SSL證書**鏈**」的整個*點*。再次感謝! – smeeb
@smeeb 1.是的,證書的樣子並不重要。 2.坦率地說:不知道。我想這更多是一種組織性的事情,但我不知道。 – musiKk