设置:
我有一个自托管注册表并使用我自己的证书。除非我将注册表设置为不安全,否则我无法登录。
现在一切正常,但是有人说这不安全。
这样的设置有什么风险?
您必须指示每个docker守护程序信任您的证书,但安全消息仍会显示出来。
基本上,这只是关于使用自签名证书与CA签名证书的辩论。安全方面,他们都以同样的方式工作。因此,出于测试目的,这是完全足够的。
使用自签名证书的缺点:
- 其他应用程序/操作系统不信任这些证书。这可能会导致身份验证错误等。
- 自签证书的有效期通常为1年(s)。这些证书需要每年更新/更换,这是一个很难维护的问题。
- 自签名证书可能使用低哈希和密码技术。因此,由自签名证书实现的安全级别可能无法满足当前的安全策略等。
- 不支持高级PKI(公钥基础结构)功能(例如,在线检查撤销列表等)。
- 服务器端应用程序的大多数高级羽毛都需要使用PKI(公钥基础结构)。通过这种方式,不能使用自签名证书的优点
缺点来自:https://www.sslsupportdesk.com/what-are-self-signed-certificates-and-disadvantages/
一个不安全的注册表可以被中间的人替换,被DNS破坏劫持,被监视以收集密码,以及受属性配置的TLS / SSL连接保护的任何数量的其他攻击。恶意注册表服务器可能导致代码在主机上以root身份运行。总的来说这是推荐的。唯一的默认不安全注册表是localhost,因为如果被劫持,主机已经被盗用。
请尝试让您的自签名CA受Docker本身或最坏情况下的整个主机信任,而不是切换到不安全的注册表。大多数文档用/etc/docker/certs.d/host:port/ca.crt描述这样做。有一个旧问题为Windows描述这个问题,因为路径不同,目录名中不允许冒号。结论似乎是C:\ProgramData\docker\certs.d\myregistrydomain.com5000\ca.crt或可能C:\Users\<user>\.docker\certs.d\myregistrydomain.com5000\ca.crt,它们也可能因Windows上的不同安装方法而异。您可以在此处查看此问题和链接的文档:
https://github.com/moby/moby/issues/21189 https://docs.docker.com/docker-for-windows/faqs/#certificates https://docs.docker.com/engine/security/certificates/