Prisma Cloud Compute: Error de escaneo del Registro x509: certificado firmado por una autoridad desconocida, buscar y corregir certificado
3976
Created On 04/19/23 17:16 PM - Last Modified 02/05/25 17:33 PM
Symptom
- El análisis del Registro falla con el siguiente error
Escáner <Defender
> Error alextraer la imagen <Imagen:>, error Error al inicializar el origen docker://<Registry-Image-tag>: error al hacer ping al registro Docker <registro>: Obtener "<registro>": X509:tag certificado firmado por una autoridad desconocidaLa extracción de Docker para la imagen se realiza correctamente desde el host / nodo.
Environment
- Prisma Cloud Cómputo (SaaS)
- Prisma Cloud Compute Edition (Autohospedado) 19.11 o posterior
Cause
- El certificado correcto CA no está presente en ninguno de los siguientes directorios, pero está presente en algún lugar del host o nodo:
- "/etc/docker/certs.d/<registry>" "/etc/containers/certs.d/<registry>" "/etc/containerd/certs.d/<registry>"
- "/etc/docker/certs.d/<registry>" "/etc/containers/certs.d/<registry>" "/etc/containerd/certs.d/<registry>"
Resolution
- Para localizar dónde existe el certificado correcto CA en el host/nodo, ejecute el siguiente comando desde el host: curl -vvv <registry_URL>
- Debería recibir una respuesta de 200 OK con la ubicación del archivo como se CA muestra a continuación:
establecer correctamente las ubicaciones de verificación de certificados:CAfile:
/path/to/ca.crt
...
3. Copie el archivo ca.cert en el directorio / etc/docker/certs.d/<registry>/ca.crt en cada host/nodo que escaneará el registro. Puede usar cualquiera de los 3 directorios mencionados en la sección Causa, ya que el defensor verificará cada ruta en serie para el certificado relacionado con el CA registro.
Additional Information
- No debería tener que montar los directorios certs.d en el defensor daemonset.yaml, el defensor debería poder acceder a estas rutas de forma predeterminada.