由于 ZScaler 和证书问题,无法使用 docker
ƘɌỈ*_*ƬƠƑ 7 linux certificate docker photon-os zscaler
我在 VMware Player 中运行了 VMware Photon OS。这将用作主机操作系统来运行 Docker 容器。
但是,由于我支持 ZScaler,因此我在运行访问外部资源的命令时遇到了问题。例如,docker pull python给了我以下输出(我添加了一些换行符以使其更具可读性):
error pulling image configuration:
Get https://dseasb33srnrn.cloudfront.net/registry-v2/docker/registry/v2/blobs/sha256/a0/a0d32d529a0a6728f808050fd2baf9c12e24c852e5b0967ad245c006c3eea2ed/data
?Expires=1493287220
&Signature=gQ60zfNavWYavBzKK12qbqwfOH2ReXMVbWlS39oKNg0xQi-DZM68zPi22xfDl-8W56tQmz5WL5j8L39tjWkLJRNmKHwvwjsxaSNOkPMYQmhppIRD0OuVwfwHr-
1jvnk6mDZM7fCrChLCrF8Ds-2j-dq1XqhiNe5Sn8DYjFTpVWM_
&Key-Pair-Id=APKAJECH5M7VWIS5YZ6Q:
x509: certificate signed by unknown authority
我试图PEM从我的 Windows 工作站中提取ZScaler的 CA 根证书(格式),并将它们附加到/etc/pki/tls/certs/ca-bundle.crt. 但是即使在重新启动 Docker 之后,这也没有解决问题。
我已经阅读了许多帖子,其中大部分都引用了update-ca-trust我的系统上不存在的命令(即使ca-certificates安装了软件包)。
我不知道如何前进。AFAIK,有两种选择。任何一个:
- 添加 ZScaler 证书,以便信任 SSL 连接。
- 允许与 Docker 集线器的不安全连接(但即便如此,它可能仍会抱怨,因为证书不受信任)。
后者的工作方式是,例如curl使用该-k选项执行允许我访问任何 https 资源。
问题是 zscaler 充当中间人,在您的组织中进行 ssl 检查(请参阅https://support.zscaler.com/hc/en-us/articles/205059995-How-does-Zscaler-protect -SSL-流量- )。
由于您已经尝试将证书放入 docker,我想您已经熟悉/sf/answers/2551805861/ 中描述的步骤。这个答案对于 zscaler 场景几乎是正确的。需要注意的一点是,因为 zscaler 拦截了 CA 树。我们需要在链上添加所有证书。
目前,zscaler 背后的证书链如下所示
我们需要将它们一一导出,并按照/sf/answers/2551805861/ 中的说明进行操作。