其他机器上访问harbor机器,报错tls: failed to verify certificate: x509: cannot validate certificate for

最新推荐文章于 2025-03-04 11:37:17 发布
最新推荐文章于 2025-03-04 11:37:17 发布
阅读量3.8k 收藏 5
点赞数 2
分类专栏: docker-harbor 文章标签: 服务器 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42863978/article/details/138494827
版权
文章讲述了在使用Docker时遇到TLS验证错误,因为服务器证书缺少IPSANs。通过分析,作者发现需要在docker客户端的daemon.json文件中添加insecure-registries配置,以允许对不安全的registry(如192.168.40.110和harbor)进行无证书登录。还提到在Kubernetes集群中的节点配置了harbor镜像仓库和hosts文件以解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

报错信息:
Error response from daemon: Get "https://192.168.40.110/v2/": tls: failed to verify certificate: x509: cannot validate certificate for 192.168.40.110 because it doesn't contain any IP SANs

复现:

[root@master1 ~]# docker login 192.168.40.110
Username: admin
Password: 
Error response from daemon: Get "https://192.168.40.110/v2/": tls: failed to verify certificate: x509: cannot validate certificate for 192.168.40.110 because it doesn't contain any IP SANs

这里我百度了一下,看到其中有部分是写到了docker的镜像配置文件daemon.json,同时有证书问题的指导,回想到harbor机器上配置了相关的免证书登录(insecure-registary

  • docker客户端如果配置中添加了insecure-registary配置,就不需要在docker 客户端配置上对应证书
  • 如果不配置就需要在/etc/docker/certs.d/目录中添加对应证书才能正常登录

harbor机器上的daemon.json配置如下:

[root@harbor harbor]# cat /etc/docker/daemon.json 
{  "registry-mirrors": ["https://rsbud4vc.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],
"insecure-registries": ["192.168.40.110","harbor"]
}
You have new mail in /var/spool/mail/root
[root@harbor harbor]#

查看其他k8s节点(其他机器),发现没有

[root@node1 ~]# cat /etc/docker/daemon.json 
{
 "registry-mirrors":["https://vh3bm52y.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"]
}

[root@master1 ~]# cat /etc/docker/daemon.json 
{
 "registry-mirrors":["https://vh3bm52y.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"]
}

复制,  "insecure-registries": ["192.168.40.110","harbor"]  将此免密配置加入到其他节点的daemon.json配置文件

如下:

编辑/创建 daemon.json文件
[root@master1 ~]# vim /etc/docker/daemon.json
{
 "registry-mirrors":["https://vh3bm52y.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],
"insecure-registries": ["192.168.40.110","harbor"]
}
强制保存并退出vim编辑(ESC 然后:wq!  然后回车)


回到命令行后复制此命令,粘贴,回车
[root@master1 ~]# systemctl daemon-reload && systemctl restart docker && systemctl status docker

配置hosts文件:

在每一个节点配置如下:主机ip +空格+ 主机名


[root@harbor harbor]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.40.180 180master
192.168.40.181 181node
192.168.40.182 182node
192.168.40.180 master1
192.168.40.181 node1
192.168.40.110 harbor

You have new mail in /var/spool/mail/root
[root@harbor harbor]#

主机ip和主机名

不清楚主机ip的 ip addr 查看 或 cat /etc/sysconfig/network-scripts/ifcfg-ens33
想修改主机名的:hostnamectl set-hostname node1 && bash

[root@harbor harbor]# cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.40.110
NETMASK=255.255.255.0
GATEWAY=192.168.40.2
DNS1=114.114.114.114
ZONE=public

以上均配置完成后,重新在其他的节点登录harbor

[root@master1 ~]# docker login 192.168.40.110
Username: admin
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@master1 ~]#

这里密码是拉建harbor时,最原始的密码和登录名

用户名:admin

密码:Harbor12345

k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 1531
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题!
Error response from daemon: Get “https://harbor.com/v2/“: x509: certificate relies on legacy Common
weixin_44130953的博客
05-23 3231
1、先到harbor服务上查看 docker-compose服务是否正常,2、 修改客户端docker 相关配置文件。
minio 配置CA证书后mc连接报错x509 .... because it doesn‘t contain any IP SANs 【解决办法】
blackome的博客
11-06 867
首先,既然你已经配置了CA证书,你应该知道内部签发的指定域名或者ip。即可用mc客户端成功连接。用mc 连接时需要三步。
如何解决 docker registry x509 证书不信任问题?
DevOps008的博客
02-01 1603
使用自签名证书启用极狐GitLab 内置的容器镜像仓库,会出现 x509 证书不受信任问题,教你如何通过配置来解决。
解决docker认证问题 failed to authorize: failed to fetch oauth token
最新发布
m0_46499080的博客
03-04 941
【代码】解决docker认证问题 failed to authorize: failed to fetch oauth token。
【爬坑日志】微信公众号服务 tls: failed to verify certificate: x509
fengle_er的博客
06-03 4352
通过以上步骤,你可以在基于Ubuntu的Docker镜像中成功安装所需的根证书,从而解决"tls: failed to verify certificate: x509: certificate signed by unknown authority"错误。这样可以确保在容器内部的网络请求中证书验证能够成功进行,保证服务的正常运行。在基于Ubuntu的Docker镜像中,安装。在实际部署过程中,除了安装根证书,还应该检查相关服务的证书配置是否完整,确保证书链的完整性,以增强安全性并避免类似的证书验证问题。
tls: failed to verify certificate: x509: cannot validate certificate for x.x.x.x because it doesn‘t
weixin_45691464的博客
11-14 2112
jenkins上没有基础镜像,需下载,再次构建镜像就没问题了。
tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid
min19900718的博客
08-06 1万+
生成证书后,立即使用,报以上错误,原因是生成证书的机器时间要比服务器时间快,导致服务器验证时,证书超出了时间使用范围。 解决办法: 1、服务器和生成证书机器进行时间同步更新 2、或者直接调整生成证书的机器时间,小于服务器的时间 ...
golang中请求接口出错 tls: failed to verify certificate: x509: certificate signed by unknown authority
秋̶᭄ꦿ攻城狮࿆ྂ
01-14 1419
如果你遇到 tls: failed to verify certificate: x509: certificate signed by unknown authority 的错误,通常是因为 Go 的 HTTP 客户端无法验证服务器的 SSL/TLS 证书。这可能是因为证书是自签名的,或者是由一个不被信任的证书颁发机构(CA)签发的 .在开发和测试阶段,忽略证书验证可能是方便的,但在生产环境中,确保使用受信任的证书是非常重要的,以保护数据的安全性。
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 7194
29号晚上同事发现部署的API接口服务崩了。同时k8s服务也崩了(我们自己写的API服务调用k8s)。当时就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
k8s-for-docker-desktop部署成功后又长时间starting后续产生的tls: failed to verify certificate: x509: certificate问题
weixin_68339359的博客
07-18 375
未解决理由:不存在/etc/kubernetes/这个文件夹,我wsl环境下的apt无法正常使用,故使用docker-desktop的方式安装docker,并尝试部署K8s。Q2:在部署好v1.29.2的k8s-for-docker-desktop后第二天,出现了长时间k8s is starting,由于没有注意到。未解决理由:仍然是不存在/etc/kubernetes/这个文件夹,并且在加上sudo的情况下仍然会显示没有编辑root下文件的权限。提供的解决方案,尝试重新执行sh文件后产生如下问题。
配置Harbor的HTTPS访问,及出现x509: cannot validate certificate for 。。 because it doesn‘t contain any IP SANs
whaol的博客
05-02 1407
配置harbor的https访问。及x509: cannot validate certificate for 192.168.237.141 because it doesn't contain any IP SANs问题。
go发邮件问题: {“error“:tls: failed to verify certificate: x509: cannalidate certificate for 10.10.*.*
Cherry
12-13 275
【代码】go发邮件问题: {“error“:tls: failed to verify certificate: x509: cannalidate certificate for 10.10.*.*
gitlab-runner cicd连接harbor报错tls: failed to verify certificate: x509: certificate is not valid for a
u013584020的博客
07-31 712
gitlab-runner harbor
使用kubeconfig报错x509证书认证错误-->failed to verify certificate: x509
m0_63577947的博客
06-19 2660
连接时出现问题报错,查看logs显示报错信息使用以下命令解析 apiserver 证书得到允许访问服务端的地址信息。
harbor docker客户端登陆失败 X509cannot validate certificate...
大健的日常的博客
06-02 9322
错误如下(博主开始使用的http形式,后来改为https,由于生成证书时采用的是域名,没有修改harbor中的hostname配置导致以下错误): iverson@worker:/etc/docker/certs.d/gerrit.backup.com$ sudo docker login gerrit.backup.com Username: amax Password: Error response from daemon: Get https://gerrit.backup.com/v2/: G
Docker login私有仓库报错x509: cannot validate certificate for because it doesn‘t contain any IP SANs
qq_43580215的博客
06-23 9335
docker login 私有仓库时报错 解决办法: 1、在/etc/docker/daemon.json中添加私有仓库地址 注意每条registry-mirrors之间有逗号相隔2、在/usr/lib/systemd/system/docker.service中添加私有仓库地址 找到service,注释后的第一行参数最后添加--insecure-registry 私有仓库地址 3、重启docker.service 至此再次登录私有仓库登录成功 ↑↑↑真的是我的神...
x509: cannot validate certificate for 192.168.31.43 because it doesn‘t contain any IP SANs
小诸葛的博客
11-05 1258
x509: cannot validate certificate for 192.168.31.43 because it doesn't contain any IP SANs
x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs 解决:
热门推荐
weixin_40592935的博客
12-20 3万+
x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs 解决: 一, 编辑openssl.cnf,在[v3_ca]下面添加:subjectAltName = IP:IP地址     注意, 直接写成123.56.157.144就行, 不用改成192或是其它地址 [ v3_ca ]...
podman登录到harbor报错Get https://harbor.pt.com/v2/: x509: certificate signed by unknown authority
05-13
这个问题通常是因为您的Podman客户端缺少Harbor的根证书,导致无法验证Harbor服务器的SSL证书。 要解决此问题,您可以按照以下步骤操作: 1. 在您的客户端计算机上,下载Harbor的根证书。您可以使用类似以下命令的curl命令下载证书: ``` curl -k https://harbor.pt.com/api/systeminfo/getcert -o /etc/pki/ca-trust/source/anchors/harbor.crt ``` 这个命令将Harbor的根证书下载到/etc/pki/ca-trust/source/anchors/目录中。 2. 更新您的客户端计算机的证书信任存储。您可以使用以下命令更新: ``` update-ca-trust extract ``` 这个命令将从/etc/pki/ca-trust/source/anchors/目录中提取证书并将其添加到证书信任存储中。 3. 重新启动Podman守护程序。 ``` systemctl restart podman ``` 这个命令将重新启动Podman守护进程并使其重新加载证书信任存储。 完成这些步骤后,您应该能够成功登录到Harbor并执行Podman操作了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无碍-心态而已

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值