一般我們構(gòu)建的 docker 鏡像使用的都是 alpine linux 系統(tǒng),默認(rèn)是不帶 ca-certificates 根證書的,導(dǎo)致無法識別外部 https 攜帶的數(shù)字證書。
在訪問的時候,會拋出509:certificate signed by unknown authority錯誤,導(dǎo)致 docker 容器的接口服務(wù)返回報錯。
為了解決證書驗證的問題,我們需要在構(gòu)建 docker 鏡像的時候?qū)?ca-certificates 根證書裝上。
在 Dockerfile 中加入如下內(nèi)容:
RUN apk --no-cache add ca-certificates \ && update-ca-certificates
對于已經(jīng)構(gòu)建好的鏡像,如果我們想手動安裝的話,可以使用如下方法。
# 進(jìn)入容器 docker exec -it '容器ID或容器名稱' bash # 安裝根證書 apk --no-cache add ca-certificates && update-ca-certificates # 若出現(xiàn)類似如下的警告,忽略 WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping # 重啟容器 docker restart '容器ID或容器名稱'
補(bǔ)充:下面看下docker 訪問外部 https 的數(shù)字證書驗證問題
我們在構(gòu)建 docker 鏡像時一般使用的是 alpine linux 系統(tǒng),默認(rèn)是不帶 ca-certificates 根證書的,導(dǎo)致無法識別外部 https 攜帶的數(shù)字證書。
那么,在訪問的時候就會拋出 x509: certificate signed by unknown authority 的錯誤,導(dǎo)致 docker 容器的接口服務(wù)返回 500。
為了解決證書驗證的問題,我們要在構(gòu)建 docker 鏡像的時候把 ca-certificates 根證書給裝上,這樣就能識別來自外部 https 的數(shù)字證書了。
在編輯 Dockerfile 的時候加入以下命令即可:
RUN apk --no-cache add ca-certificates \ ? && update-ca-certificates
如果不想重新構(gòu)建鏡像的話,可以直接進(jìn)入容器:
$ docker exec -it '容器ID或容器名稱' bash
然后執(zhí)行安裝根證書命令:
$ apk --no-cache add ca-certificates && update-ca-certificates
出現(xiàn)以下警告,可以忽略:
WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping
然后重啟容器即可:
$ docker restart '容器ID或容器名稱'
