Docker on Windows (Boot2Docker) - 由未知授权错误签署的证书
Docker on Windows (Boot2Docker) - certificate signed by unknown authority error
我 运行正在 Docker Windows (boot2docker + Oracle Virtual Box)。在我的公司环境中,他们修改了证书,使 CA 成为公司的自签名 CA。因此,链最终是这样的:
Company's CA
|__
Company's Intermediate CA
|__
Docker Certificate
当我尝试运行任何命令时,例如:
docker run hello-world
我收到这个错误:
Get https://index.docker.io/v1/repositories/library/hello-world/images: x509: certificate signed by unknown authority
我找到了这个问题的几个答案,但总是针对 Linux 环境。我如何解决 Windows 中的这个问题?
这个普遍的问题已经困扰我几个月了。我第一次注意到它是在尝试让本地虚拟机获取 Python 包时,所以我已经知道证书会是一个问题。我为我的 VM 解决了它,但直到今天才能够为 Docker 制定解决方案。诀窍是将证书添加到 Docker 的证书库并让它们持久存在。这是通过使用每次机器启动时执行的 bootlocal.sh 脚本来实现的。
我假设如果您已经找到 Linux 的答案,那么您已经知道了第一步。为了彻底,我将在这里记录它们,因为其他人可能还没有走到这一步。如果您已经通过之前的尝试完成了#1 和#2,请从下面的#3 开始。
获取企业根证书集,该证书应安装在企业配置的浏览器中。在 Chrome 中,您可以转到“设置”,单击“显示高级设置”,然后向下滚动到 HTTPS/SSL,您可以在其中选择“管理证书”。我的组织已将它们放在受信任的根证书颁发机构中,并以组织的名字命名。每次导出一个(我有两个)。您可以选择 DER 格式 并执行下面的步骤 #2 以转换为 PEM,或者您可以选择 Base-64 编码x.509 (.CER) 并将扩展重命名为 .pem 并跳过步骤 #2.
将它们保存到已知位置后,您将需要将它们转换为 PEM 格式,除非您另存为 duch。我发现最简单的方法是在 Docker 快速启动终端中使用 运行 openssl.exe[1] 命令。
openssl x509 -inform der -in certificate.cer -out certificate.pem
获得 .pem 文件后,您需要将它们复制到 Docker 机器可以访问的位置。通常对于 MS Windows,您会在 docker 机器中自动安装主机的 /c/Users。我在 c:\Users\my.username\certs 中创建了一个目录并将它们复制到那里。
这一步可能不是绝对必要的,但我就是这么做的,而且很管用。您需要将这些证书复制到持久的 boot2docker 分区中。我正在连接到我的默认机器,这是您需要为第 5 步做的事情。
MINGW64:$ docker-machine ssh default
docker@default:~$ sudo -s
root@default:/home/docker# mkdir /var/lib/boot2docker/certs
root@default:/home/docker# cp /c/Users/my.username/certs/*.pem /var/lib/boot2docker/certs/
现在是编写 bootlocal.sh 脚本的时候了,它会在每次系统启动时将证书复制到正确的位置。[2]如果您还没有,请按照第 4 步打开到计算机的 SSH 连接。
touch /var/lib/boot2docker/bootlocal.sh && chmod +x /var/lib/boot2docker/bootlocal.sh
vi /var/lib/boot2docker/bootlocal.sh
插入以下内容并保存文件:
#!/bin/sh
mkdir -p /etc/docker/certs.d && cp /var/lib/boot2docker/certs/*.pem /etc/docker/certs.d
重新启动机器,可以在机器内部使用 reboot 命令,也可以在 Docker 终端使用 docker-machine 命令:
docker-machine restart default
现在您应该可以 运行 'hello-world' 和其他人了。希望对您有所帮助。
来源
[1] https://serverfault.com/questions/254627/how-to-convert-a-cer-file-in-pem
[2] https://github.com/boot2docker/boot2docker/issues/347#issuecomment-189112043
一种方法
使用 Firefox,转到 url:https://auth.docker.io/token?scope=repository%3Alibrary%2Fhello-world%3Apull&service=registry.docker.io,单击查看证书的详细信息并将其提取为 crt。
将文件复制到 os 存储 crt 的 VM:
CentOS
etc/pki/ca-trust/source/anchors/
# Then run
update-ca-trust force-enable
update-ca-trust extract
Ubuntu
/usr/share/ca-certificates
#Then run
sudo dpkg-reconfigure ca-certificates
重新启动 docker,它应该可以工作
对于导出证书,您可以选择文件格式为“Base-64 encoded x.509(.CER)”,最后将证书扩展名重命名为 .pem。
我 运行正在 Docker Windows (boot2docker + Oracle Virtual Box)。在我的公司环境中,他们修改了证书,使 CA 成为公司的自签名 CA。因此,链最终是这样的:
Company's CA
|__
Company's Intermediate CA
|__
Docker Certificate
当我尝试运行任何命令时,例如:
docker run hello-world
我收到这个错误:
Get https://index.docker.io/v1/repositories/library/hello-world/images: x509: certificate signed by unknown authority
我找到了这个问题的几个答案,但总是针对 Linux 环境。我如何解决 Windows 中的这个问题?
这个普遍的问题已经困扰我几个月了。我第一次注意到它是在尝试让本地虚拟机获取 Python 包时,所以我已经知道证书会是一个问题。我为我的 VM 解决了它,但直到今天才能够为 Docker 制定解决方案。诀窍是将证书添加到 Docker 的证书库并让它们持久存在。这是通过使用每次机器启动时执行的 bootlocal.sh 脚本来实现的。
我假设如果您已经找到 Linux 的答案,那么您已经知道了第一步。为了彻底,我将在这里记录它们,因为其他人可能还没有走到这一步。如果您已经通过之前的尝试完成了#1 和#2,请从下面的#3 开始。
获取企业根证书集,该证书应安装在企业配置的浏览器中。在 Chrome 中,您可以转到“设置”,单击“显示高级设置”,然后向下滚动到 HTTPS/SSL,您可以在其中选择“管理证书”。我的组织已将它们放在受信任的根证书颁发机构中,并以组织的名字命名。每次导出一个(我有两个)。您可以选择 DER 格式 并执行下面的步骤 #2 以转换为 PEM,或者您可以选择 Base-64 编码x.509 (.CER) 并将扩展重命名为 .pem 并跳过步骤 #2.
将它们保存到已知位置后,您将需要将它们转换为 PEM 格式,除非您另存为 duch。我发现最简单的方法是在 Docker 快速启动终端中使用 运行 openssl.exe[1] 命令。
openssl x509 -inform der -in certificate.cer -out certificate.pem获得 .pem 文件后,您需要将它们复制到 Docker 机器可以访问的位置。通常对于 MS Windows,您会在 docker 机器中自动安装主机的 /c/Users。我在 c:\Users\my.username\certs 中创建了一个目录并将它们复制到那里。
这一步可能不是绝对必要的,但我就是这么做的,而且很管用。您需要将这些证书复制到持久的 boot2docker 分区中。我正在连接到我的默认机器,这是您需要为第 5 步做的事情。
MINGW64:$ docker-machine ssh default docker@default:~$ sudo -s root@default:/home/docker# mkdir /var/lib/boot2docker/certs root@default:/home/docker# cp /c/Users/my.username/certs/*.pem /var/lib/boot2docker/certs/现在是编写 bootlocal.sh 脚本的时候了,它会在每次系统启动时将证书复制到正确的位置。[2]如果您还没有,请按照第 4 步打开到计算机的 SSH 连接。
touch /var/lib/boot2docker/bootlocal.sh && chmod +x /var/lib/boot2docker/bootlocal.sh vi /var/lib/boot2docker/bootlocal.sh插入以下内容并保存文件:
#!/bin/sh mkdir -p /etc/docker/certs.d && cp /var/lib/boot2docker/certs/*.pem /etc/docker/certs.d重新启动机器,可以在机器内部使用 reboot 命令,也可以在 Docker 终端使用 docker-machine 命令:
docker-machine restart default
现在您应该可以 运行 'hello-world' 和其他人了。希望对您有所帮助。
来源
[1] https://serverfault.com/questions/254627/how-to-convert-a-cer-file-in-pem
[2] https://github.com/boot2docker/boot2docker/issues/347#issuecomment-189112043
一种方法 使用 Firefox,转到 url:https://auth.docker.io/token?scope=repository%3Alibrary%2Fhello-world%3Apull&service=registry.docker.io,单击查看证书的详细信息并将其提取为 crt。
将文件复制到 os 存储 crt 的 VM:
CentOS
etc/pki/ca-trust/source/anchors/
# Then run
update-ca-trust force-enable
update-ca-trust extract
Ubuntu
/usr/share/ca-certificates
#Then run
sudo dpkg-reconfigure ca-certificates
重新启动 docker,它应该可以工作
对于导出证书,您可以选择文件格式为“Base-64 encoded x.509(.CER)”,最后将证书扩展名重命名为 .pem。