docker20.10.8及以上版本安装registry镜像库存在san ssl 证书
问题
Get “https://dockerhub.kubekey.local/v2/”: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0
分析
由于docker20.10.8及以上版本编译使用的go版本过高(>1.15.1)。go 1.15版本开始废弃CommonName,需要使用SAN证书
以下是registry服务端的服务器生成SAN证书的方式
mkdir -p /mnt/registry/certs
cd /mnt/registry/certs
cp /etc/pki/tls/openssl.cnf /mnt/registry/certs
修改 操作目录的openssl.cnf
vi /mnt/registry/certs/openssl.cnf
修改如下 (去掉144 行的# 添加 145 146 行 146 可以写多个域名 )
144 req_extensions = v3_req # The extensions to add to a certificate request
145 [ alt_names ]
146 DNS.1 = dockerhub.kubekey.local
生成默认 ca
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj “/CN=example.ca.com” -days 5000 -out ca.crt
生成证书请求
openssl req -new -sha256
-key ca.key
-subj “/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=dockerhub.kubekey.local”
-reqexts SAN
-config <(cat ./openssl.cnf
<(printf “[SAN]\nsubjectAltName=DNS:dockerhub.kubekey.local”))
-out domain.csr
生成证书
openssl x509 -req -days 365000
-in domain.csr -CA ca.crt -CAkey ca.key -CAcreateserial
-extfile <(printf “subjectAltName=DNS:dockerhub.kubekey.local”)
-out domain.crt