3.16. 在 Red Hat Quay 容器中添加额外的证书颁发机构

extra_ca_certs 目录是可以存储其他证书颁发机构(CA)的目录，以扩展可信证书集合。Red Hat Quay 使用这些证书来验证与外部服务的 SSL/TLS 连接。在部署 Red Hat Quay 时，您可以将所需的 CA 放在这个目录中，以确保到 LDAP、OIDC 和存储系统等服务的连接会被正确保护并验证。

对于独立 Red Hat Quay 部署，您必须创建这个目录，并将额外的 CA 证书复制到那个目录中。

先决条件

有用于所需服务的 CA。

流程

输入以下命令查看要添加到容器中的证书：

$ cat storage.crt

输出示例

-----BEGIN CERTIFICATE-----
MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV...
-----END CERTIFICATE-----

输入以下命令，在 Red Hat Quay 目录的 /config 文件夹中创建 extra_ca_certs ：
```
$ mkdir -p /path/to/quay_config_folder/extra_ca_certs
```

将 CA 文件复制到 extra_ca_certs 文件夹。例如：

$ cp storage.crt /path/to/quay_config_folder/extra_ca_certs/

输入以下命令，确保 storage.crt 文件存在于 extra_ca_certs 文件夹中：

$ tree /path/to/quay_config_folder/extra_ca_certs

输出示例

/path/to/quay_config_folder/extra_ca_certs
├── storage.crt----

输入以下命令来获取 Quay 的 CONTAINER ID ：

$ podman ps

输出示例

CONTAINER ID        IMAGE                                COMMAND                  CREATED             STATUS              PORTS
5a3e82c4a75f        <registry>/<repo>/quay:{productminv} "/sbin/my_init"          24 hours ago        Up 18 hours         0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp   grave_keller

输入以下命令重启容器
```
$ podman restart 5a3e82c4a75f
```

运行以下命令确认证书已复制到容器命名空间中：

$ podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem

输出示例

-----BEGIN CERTIFICATE-----
MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV...
-----END CERTIFICATE-----

3.16. 在 Red Hat Quay 容器中添加额外的证书颁发机构

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links