Prisma Cloud 计算:注册表扫描错误 x509:由未知授权机构签署的证书,查找并修复证书

Prisma Cloud 计算:注册表扫描错误 x509:由未知授权机构签署的证书,查找并修复证书

3918
Created On 04/19/23 17:16 PM - Last Modified 02/05/25 17:33 PM


Symptom


  • 注册表扫描失败并出现以下错误
  • 扫描仪 <Defender>
    无法拉取图像 <Image:tag >,错误Error initializing source docker://<Registry-Image-tag >:错误 ping docker registry <registry>:获取“<registry>”:x509:由未知授权机构签名的证书
  • 镜像的 Docker pull 从主机/节点成功。

Environment


  • Prisma Cloud 计算 (SaaS)
  • Prisma Cloud Compute Edition (自托管)19.11 或更高版本

Cause


  • 正确的CA证书不存在于以下任何目录中,但存在于主机/节点上的某处:
    • “/etc/docker/certs.d/<注册表>”
      “/etc/containers/certs.d/<registry>”
      “/etc/containerd/certs.d/<registry>”

Resolution


  1. 找到正确的位置CA主机/节点上存在证书,请从主机运行以下命令: curl -vvv <registry_URL>
  2. 你应该收到 200OK响应与CA文件位置如下:
...
成功设置证书验证位置:
CA文件:/path/to/ca.crt
...
3.复制证书文件到目录/etc/docker/certs.d/<注册表>/ca.crt在将扫描注册表的每个主机/节点上.您可以使用原因部分中提到的 3 个目录中的任何一个,因为防御者将连续检查每个路径以查找CA与注册表相关的证书。

Additional Information


  • 你不应该安装证书.d防御者的目录daemonset.yaml ,默认情况下,防御者应该能够访问这些路径。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1PtCAI&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language