Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown A…

微信扫一扫,分享到朋友圈

Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown A…

本文首发于 Ficow Shen’s Blog ,原文地址: Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown Authority

内容概览

  • 前言
  • 将证书添加到镜像中
  • 不使用 HTTPS
  • 总结

前言

当使用 FROM scratch 构建基于 scratch 镜像的 Go 应用镜像时,如果没有向镜像中添加证书颁发机构(CA, Certificate Authority)发布的证书,您就有可能遭遇这个错误: X509: Certificate Signed by Unknown Authority

其实,解决的方法比较简单,只需要将部署该容器的服务器的证书导入到镜像中即可。或者,采用下策,不使用 HTTPS。

将证书添加到镜像中

最终运行该容器的服务器的操作系统的不同,证书在文件系统中存储的位置就会有所不同。

对于多数 Linux 发行版来说,这个目录是: /etc/ssl/certs 。比如,在 Ubuntu 20.04.1 LTS 中,我们可以使用 ca-certificates.crt

使用 scp 命令,我们可以很容易地将这个文件发送到本地机器中:

scp 用户名@服务器IP地址:/etc/ssl/certs/ca-certificates.crt . , 如: scp root@x.x.x.x:/etc/ssl/certs/ca-certificates.crt .

最后,将这个文件放到与 Dockerfile 相同的目录下,然后修改 Dockerfile 。比如:

FROM scratch
# ...
WORKDIR /app
ADD ca-certificates.crt /etc/ssl/certs/ # 使用 ADD 命令,将 ca-certificates.crt 添加到镜像中
ADD . /app
EXPOSE 8000
# ...

参考文章 中的解决方案是使用 wget 命令下载由 Mozilla 提供的证书

wget https://curl.haxx.se/ca/cacert.pem

不使用 HTTPS

请注意,这是一个下策!!!

触发此错误时, Go 应用一定发起了基于 HTTPS 协议的网络请求。您只需要找到发起网络请求的代码,然后修改请求地址的协议为 HTTP 即可。比如: https://ficowshen.com –> http://ficowshen.com

但是,这样您的网络请求信息就完全暴露了,我并不推荐您这样做。请三思而后行~

参考内容

有疑问加站长微信联系(非本文作者)

Java如何正确比较浮点数

上一篇

CIKM 2020 | 知识库问答复杂问题的分层查询图生成方法

下一篇

你也可能喜欢

Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown A…

长按储存图像,分享给朋友