Atualmente estou implementando umservidor Docker Registry privado nginxconfigurado para encaminhar httpso tráfego com segurança para a instância do Docker Registry (ou seja docker-compose) em execuçãoem uma rede privada (com DNS, DHCP configurado).

Eu tenho toda a configuração funcionando conforme o esperado, mas tive quecriar certificados autoassinadosjá que não tenho permissão para usar"Vamos criptografar"(requisito difícil). Implantei o .crtarquivo /usr/local/share/ca-certificatesem todos os hosts Ubuntu da minha rede e atualizei o armazenamento de certificados (ou seja, via sudo update-ca-certificates -f).

No entanto, mesmo que o certificado seja "confiável" (da etapa acima), o certificado ainda está registrado como "autoassinado" ea única maneira de fazer o Docker Registry funcionar totalmente é criando um arquivo, /etc/docker/daemon.json, com o seguinte conteúdo (assumindo que minha instância do Docker Registry esteja em execução no registryhost do meu landomínio):

{
  "insecure-registries" : [ "registry.lan:5000" ]
}

Isso faz com que algumas funcionalidades sejam interrompidas (ou seja, existem alguns plug-ins que não funcionarão se "registros inseguros" estiverem ativados).

Pergunta

Como posso configurar minha rede privada (ou seja, assumindo que ela nem esteja conectada à Internet na maior parte do tempo) para que todas as máquinas na rede "confiem totalmente" no certificado (ou seja, para que o certificado seja "confiável publicamente" entre os hosts em a rede local)?ou seja, qual comando posso executar ou arquivo de configuração posso ajustar?

Esta parece ser uma solução possível: criar uma chave de servidor CA plus na minha rede privada.

Obrigado.