Prisma Cloud Compute: Registrierungsscan-Fehler x509: Zertifikat, das von einer unbekannten Autorität signiert wurde, Zertifikat suchen und reparieren
3962
Created On 04/19/23 17:16 PM - Last Modified 02/05/25 17:33 PM
Symptom
- Der Registrierungsscan schlägt mit dem folgenden Fehler fehl
Scanner <Defender
> Fehler beim Abrufen des Bildes <Image:>, Fehler Fehler beimInitialisieren der Quelle docker://<Registry-Image-tag>: Fehler beim Pingen der Docker-Registrierung <Registry>: Abrufen von "<registry>": x509:tag von einer unbekannten Autorität signiertes ZertifikatDer Docker-Pull für das Image vom Host/Knoten ist erfolgreich.
Environment
- Prisma Cloud Compute (SaaS)
- Prisma Cloud Compute Edition (Selbst gehostet) 19.11 oder höher
Cause
- Das richtige CA Zertifikat ist in keinem der folgenden Verzeichnisse vorhanden, sondern irgendwo auf dem Host/Knoten:
- "/etc/docker/certs.d/<registry>" "/etc/containers/certs.d/<registry>" "/etc/containerd/certs.d/<registry>"
- "/etc/docker/certs.d/<registry>" "/etc/containers/certs.d/<registry>" "/etc/containerd/certs.d/<registry>"
Resolution
- Um herauszufinden, wo das richtige CA Zertifikat auf dem Host/Knoten vorhanden ist, führen Sie bitte den folgenden Befehl auf dem Host aus: curl -vvv <registry_URL>
- Sie sollten eine 200-Antwort OK mit dem CA folgenden Dateispeicherort erhalten:
Speicherorte für die Zertifikatsüberprüfung erfolgreich festgelegt:CAfile:
/path/to/ca.crt
...
3. Kopieren Sie die Datei ca.cert in das Verzeichnis / etc/docker/certs.d/<registry>/ca.crt auf jedem Host/Knoten, der die Registry scannt. Sie können eines der 3 Verzeichnisse verwenden, die im Abschnitt Ursache erwähnt werden, da der Verteidiger jeden Pfad seriell auf das Zertifikat überprüft, das CA sich auf die Registrierung bezieht.
Additional Information
- Sie sollten die certs.d-Verzeichnisse nicht in den Defender daemonset.yaml mounten müssen, der Defender sollte standardmäßig auf diese Pfade zugreifen können.