Prisma Cloud Calcul: erreur d’analyse du registre x509: certificat signé par une autorité inconnue, recherche et correction du certificat
3962
Created On 04/19/23 17:16 PM - Last Modified 02/05/25 17:33 PM
Symptom
- L’analyse du registre échoue avec l’erreur ci-dessous
Scanner <Defender
>Impossible d’extraire l’image <Image:>, erreur Erreur lors de l’initialisation de la source docker://<Registry-Image-tag>: erreur lors de la commande ping du registre docker <registry>: Obtenez « <registry> »: x509:tag certificat signé par une autorité inconnueL’extraction Docker de l’image réussit à partir de l’hôte/nœud.
Environment
- Prisma Cloud Calcul (SaaS)
- Prisma Cloud Compute Edition (Auto-hébergé) 19.11 ou version ultérieure
Cause
- Le certificat correct CA n’est présent dans aucun des répertoires suivants, mais est présent quelque part sur l’hôte/nœud :
- « /etc/docker/certs.d/<registry> » « /etc/containers/certs.d/<registry> » « /etc/containerd/certs.d/<registry> »
- « /etc/docker/certs.d/<registry> » « /etc/containers/certs.d/<registry> » « /etc/containerd/certs.d/<registry> »
Resolution
- Pour localiser l’emplacement du certificat correct CA sur l’hôte/nœud, exécutez la commande suivante à partir de l’hôte : curl -vvv <registry_URL>
- Vous devriez recevoir une réponse 200 OK avec l’emplacement du CA fichier comme ci-dessous:
définir avec succès les emplacements de vérification des certificats:CAfile:
/path/to/ca.crt
...
3. Copiez le fichier ca.cert dans le répertoire / etc/docker/certs.d/<registry>/ca.crt sur chaque hôte/nœud qui analysera le registre. Vous pouvez utiliser l’un des 3 répertoires mentionnés dans la section Cause puisque le défenseur vérifiera chaque chemin en série pour le CA certificat lié au registre.
Additional Information
- Vous ne devriez pas avoir à monter les répertoires certs.d dans le defender daemonset.yaml, le defender devrait pouvoir accéder à ces chemins par défaut.