我正在尝试运行以下 docker 命令:
docker run -i -t ubuntu /bin/bash
但我得到了错误:
Unable to find image 'ubuntu' (tag: latest) locally
Pulling repository ubuntu
2013/11/28 14:00:24 Get https://index.docker.io/v1/images/ubuntu/ancestry: x509: certificate signed by unknown authority
我知道我们公司会为 https 请求即时替换 SSL 证书。
我尝试通过将我们公司的 CA 证书放入以下内容来信任它:
/etc/pki/tls/certs/ca-bundle.crt
和
/etc/pki/tls/cert.pem
但是还是不行。
有什么想法吗?
【问题讨论】:
@jpetazzo 的回答总体上是正确的,但是有更好的方法来做同样的事情(无需手动编辑 ca-bundle 文件):
在 CentOS 上:
sudo cp yourcert.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract
sudo service docker restart
在 Debian 上:
sudo cp yourcert.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
sudo service docker restart
注意,重启 docker daemon 是必须的!
【讨论】:
根据http://golang.org/src/pkg/crypto/x509/root_unix.go,您应该将您的证书附加到以下之一:
找到您系统上存在的那个,并将您的证书附加到它。
(当您升级包含该文件的软件包时,请准备好再次执行此操作...)
我希望有更好的方法,但这是我目前发现的唯一一个:-)
【讨论】:
sudo service docker restart 重新启动 Docker 守护进程。谢谢!
要将 docker 配置为使用代理系统,您首先需要将 HTTPS_PROXY / HTTP_PROXY 环境变量添加到 docker sysconfig 文件中。但是,根据您使用的是 init.d 还是服务工具,您需要添加“export”语句。作为一种解决方法,您可以简单地在 docker 的 sysconfig 文件中添加这两个变体:
/etc/sysconfig/docker
HTTPS_PROXY="https://<user>:<password>@<proxy-host>:<proxy-port>"
HTTP_PROXY="https://<user>:<password>@<proxy-host>:<proxy-port>"
export HTTP_PROXY="https://<user>:<password>@<proxy-host>:<proxy-port>"
export HTTPS_PROXY="https://<user>:<password>@<proxy-host>:<proxy-port>"
要让 docker 使用 ssl 拦截代理,您必须将代理根证书添加到系统信任库。
对于 CentOS,将文件复制到 /etc/pki/ca-trust/source/anchors/ 并更新 ca 信任库。之后重启 docker 服务。 如果您的代理使用 NTLM 身份验证 - 有必要使用像 cntlm 这样的中间代理。 This blog post explains it in detail
【讨论】: