最近在做Docker相關的東西,發現只要一pull鏡像,就出現如下的ERROR
x509: certificate signed by unknown authority.
調查后發現,是公司IT把https證書換成了公司的證書(目的大家自己猜)。
解決思路:把替換后的證書直接用openssl拉下來,然后加入到系統(我是Ubuntu)系統證書中,然后使用update-ca-certificates更新,最后重啟docker服務,成功!!
- 方式1:
$ echo -n | openssl s_client -showcerts -connect dseasb33srnrn.cloudfront.net:443 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /usr/local/share/ca-certificates/cloudfront.crt
$ update-ca-certificates
Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:cloudfront.pem
done.
done.
上面的dseasb33srnrn.cloudfront.net是docker提示證書錯誤的網址。把這個網址替換成你的網站,同時把改下你要生成的證書名字就OK。
然后重啟docker deamon
$ sudo service docker restart
- 方式2:
$ echo -n | openssl s_client -showcerts -connect dseasb33srnrn.cloudfront.net:443 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> /etc/ssl/certs/ca-certificates.crt
同時替換上面的dseasb33srnrn.cloudfront.net就好了.
然后重啟docker
$ sudo service docker restart
- 結語:
我上面的方式之所以可以搞定大多數由於公司IT部門替換https證書造成的錯誤,是因為很多程序是使用系統默認的證書(路徑)。
對於一些特殊的程序,比如python pip,不使用系統默認的證書,而是使用自己的路徑,可以強制它使用*方式2*生成的證書。