新建一個資料夾，以下步驟均在該資料夾中進行。

準備站點證書
如果你擁有一個域名，國內各大雲服務商均提供免費的站點證書。你也可以使用 openssl 自行簽發證書。

下面我們介紹使用 openssl 自行簽發 docker.domain.com 的站點 SSL 證書。

第一步建立 CA 私鑰（RSA加密演算法，對稱加密演算法是AES 128，位數為4096位，正常建議為2048位）。

$ openssl genrsa -aes128 -out "root-ca.key" 4096

第二步利用私鑰建立 CA 根證書請求檔案。

$ openssl req \
          -new -key "root-ca.key" \
          -out "root-ca.csr" -sha256 \
          -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=Your Company Name Docker Registry 
 

以上命令中 -subj 引數裡的 /C 表示國家，如 CN；/ST 表示省；/L 表示城市或者地區；/O 表示組織名；/CN 通用名稱（如網站地址、私有庫地址）。

第三步配置 CA 根證書，新建 root-ca.cnf。

[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash

第四步簽發根證書。

$ openssl x509 -req  -days 3650  -in "root-ca.csr" \
               -signkey "root-ca.key" -sha256 -out "root-ca.crt" \
               -extfile "root-ca.cnf" -extensions \
               root_ca
 

第五步生成站點 SSL 私鑰。

$ openssl genrsa -out "docker.domain.com.key" 4096

第六步使用私鑰生成證書請求檔案。

$ openssl req -new -key "docker.domain.com.key" -out "site.csr" -sha256 \
          -subj '/C=CN/ST=Shanxi/L=Datong/O=Your Company Name/CN=docker.domain.com'

第七步配置證書，新建 site.cnf 檔案。

[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:docker.domain.com, IP:127.0.0.1
subjectKeyIdentifier=hash
 

第八步簽署站點 SSL 證書。

$ openssl x509 -req -days 750 -in "site.csr" -sha256 \
    -CA "root-ca.crt" -CAkey "root-ca.key"  -CAcreateserial \
    -out "docker.domain.com.crt" -extfile "site.cnf" -extensions server

這樣已經擁有了 docker.domain.com 的網站 SSL 私鑰 docker.domain.com.key 和 SSL 證書 docker.domain.com.crt 及 CA 根證書 root-ca.crt。

新建 ssl 資料夾並將 docker.domain.com.key docker.domain.com.crt root-ca.crt 這三個檔案移入，刪除其他檔案。