1.2. スタンドアロン Red Hat Quay デプロイメント用の SSL/TLS の設定

手順

1. 証明書ファイルとプライマリーキーファイルを設定ディレクトリーにコピーして、それぞれ ssl.cert と ssl.key という名前が付けられていることを確認します。

   cp ~/ssl.cert ~/ssl.key /path/to/configuration_directory

2. 次のコマンドを入力して、設定ディレクトリーに移動します。

   $ cd /path/to/configuration_directory

3. config.yaml ファイルを編集し、Red Hat Quay で SSL/TLS を処理するように指定します。

   config.yaml ファイルの例

   # ...
   SERVER_HOSTNAME: <quay-server.example.com>
   ...
   PREFERRED_URL_SCHEME: https
   # ...

4. オプション: 次のコマンドを入力して、rootCA.pem ファイルの内容を ssl.cert ファイルの末尾に追加します。

   $ cat rootCA.pem >> ssl.cert

5. 次のコマンドを入力して、Quay コンテナーを停止します。

   $ sudo podman stop <quay_container_name>

6. 次のコマンドを入力してレジストリーを再起動します。

   $ sudo podman run -d --rm -p 80:8080 -p 443:8443 \
     --name=quay \
     -v $QUAY/config:/conf/stack:Z \
     -v $QUAY/storage:/datastorage:Z \
     registry.redhat.io/quay/quay-rhel8:v3.13.1

手順

1. ルート CA ファイルを /etc/containers/certs.d/ または /etc/docker/certs.d/ のいずれかにコピーします。サーバーのホスト名によって決定される正確なパスを使用し、ファイルに ca.crt という名前を付けます。

   $ sudo cp rootCA.pem /etc/containers/certs.d/quay-server.example.com/ca.crt

2. Red Hat Quay レジストリーにログインするときに --tls-verify=false オプションを使用する必要がなくなったことを確認します。

   $ sudo podman login quay-server.example.com

   出力例

   Login Succeeded!

手順

1. 次のコマンドを入力して、rootCA.pem ファイルをシステム全体の統合トラストストアにコピーします。

   $ sudo cp rootCA.pem /etc/pki/ca-trust/source/anchors/

2. 次のコマンドを入力して、システム全体のトラストストア設定を更新します。

   $ sudo update-ca-trust extract

3. オプション: trust list コマンドを使用して、Quay サーバーが設定されていることを確認できます。

   $ trust list | grep quay
       label: quay-server.example.com

   https://quay-server.example.com でレジストリーを参照すると、接続が安全であることを示すロックアイコンが表示されます。

   

4. rootCA.pem ファイルをシステム全体の信頼から削除するには、ファイルを削除して設定を更新します。

   $ sudo rm /etc/pki/ca-trust/source/anchors/rootCA.pem

   $ sudo update-ca-trust extract

   $ trust list | grep quay