我在VMware Player中运行VMware Photon OS。这将用作运行Docker容器的主机OS。
但是,由于我落后于ZScaler,因此在运行访问外部资源的命令时遇到了问题。例如。 docker pull python提供以下输出(我添加了一些换行符以使其更具可读性):
error pulling image configuration:
Get https://dseasb33srnrn.cloudfront.net/registry-v2/docker/registry/v2/blobs/sha256/a0/a0d32d529a0a6728f808050fd2baf9c12e24c852e5b0967ad245c006c3eea2ed/data
?Expires=1493287220
&Signature=gQ60zfNavWYavBzKK12qbqwfOH2ReXMVbWlS39oKNg0xQi-DZM68zPi22xfDl-8W56tQmz5WL5j8L39tjWkLJRNmKHwvwjsxaSNOkPMYQmhppIRD0OuVwfwHr-
1jvnk6mDZM7fCrChLCrF8Ds-2j-dq1XqhiNe5Sn8DYjFTpVWM_
&Key-Pair-Id=APKAJECH5M7VWIS5YZ6Q:
x509: certificate signed by unknown authority
我试图从Windows工作站中提取ZScaler的CA根证书(以
PEM格式),并将它们附加到/etc/pki/tls/certs/ca-bundle.crt。但是即使重新启动Docker,也无法解决问题。我已经阅读了许多帖子,其中大多数引用的命令
update-ca-trust在我的系统上不存在(即使已安装ca-certificates软件包)。我不知道如何前进。 AFAIK,有两个选项。要么:
后者可以顺便说一句,例如使用
curl选项执行-k可使我访问任何https资源。 最佳答案
问题是zscaler充当着MAN-IN-THE-MIDDLE的角色,在您的组织中执行ssl检查(请参阅https://support.zscaler.com/hc/en-us/articles/205059995-How-does-Zscaler-protect-SSL-traffic-)。
由于您尝试将证书放入docker中,所以我想您已经熟悉https://stackoverflow.com/a/36454369/1443505中描述的步骤。对于zscaler方案,答案几乎是正确的。需要注意的一件事是,因为zscaler截取了CA树。我们需要在链上添加所有证书。
目前,zscaler背后的证书链如下所示
我们需要将它们全部导出,并按照https://stackoverflow.com/a/36454369/1443505中的说明进行操作。