13.7.3. 为外部 registry 添加可信证书

如果您要从中导入的 registry 使用标准证书颁发机构签名的证书，您需要明确将系统配置为信任 registry 的证书颁发机构或签名机构。这可以通过将 CA 证书或 registry 证书添加到运行 registry 导入控制器（通常是 master 节点）的主机系统中。

您必须在主机系统中分别将证书或 CA 证书添加到 /etc/pki/tls/certs 或 /etc/pki/ca-trust 中。您还需要在红帽分发版本中运行 update-ca-trust 命令，然后重启 master 服务以获取证书更改。

您还可以通过在 master 配置文件的 Image Policy Configuration 部分中设置 AdditionalTrustedCA 参数，将 registry 导入控制器指向另一个文件系统路径。