解决kubesphere x509: certificate signed by unknown authority问题(Kubesphere 配置镜像仓库)

已于 2024-10-18 10:40:04 修改
阅读量719 收藏 5
点赞数 10
分类专栏: 报错解决 文章标签: kubesphere
于 2024-10-18 10:27:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44732146/article/details/143035259
版权

问题

registry自签的证书,配置secret失败提示certificate signed by unknown authority
在这里插入图片描述

解决办法

通过configmap加载自签的CA证书

  • 查看 CA 证书的位置,在 Harbor 部署时,查看证书生成的位置及值:
ls /etc/docker/certs.d/
cat /etc/docker/certs.d/registry.opsxlab.cn/ca.crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

界面创建configmap:工作台>企业空间>System-workspace>项目>kubesphere-system>配置>配置字典

  • 新建registry-ca

在这里插入图片描述

在这里插入图片描述

  • 编辑 ks-apiserver deployment 文件,进行 configmap 的挂载:
    在这里插入图片描述

  • 更多操作=>编辑设置
    在这里插入图片描述

  • 存储卷=>挂载配置字典或保密字典
    在这里插入图片描述

  • 路径是:/etc/ssl/certs/ca.crt
    在这里插入图片描述

在这里插入图片描述

  • 点确认前没有出现报错.

在这里插入图片描述

  • 这里报错是正常的,deployment会被重建
    在这里插入图片描述
    过一会刷新下就恢复正常了

验证

配置=>保密字典=>创建

在这里插入图片描述
在这里插入图片描述

kubesphere的devops报错

Failed to bind to LDAP: userDnuid=admin,ou=Users,dc=kubesphere,dc=io username=admin

2024-10-18 02:00:28.497+0000 [id=193]	WARNING	o.s.c.s.ResourceBundleMessageSource#getResourceBundle: ResourceBundle [org.acegisecurity.messages] not found for MessageSource: Can't find bundle for base name org.acegisecurity.messages, locale en
2024-10-18 02:00:28.498+0000 [id=193]	WARNING	o.a.p.l.a.BindAuthenticator2#handleBindException: Failed to bind to LDAP: userDnuid=admin,ou=Users,dc=kubesphere,dc=io  username=admin
javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid Credentials]
	at java.naming/com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3259)
	at java.naming/com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:3205)
	at java.naming/com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:2991)
	at java.naming/com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2905)
	at java.naming/com.sun.jndi.ldap.LdapCtx.<init>(LdapCtx.java:348)
	at java.naming/com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxFromUrl(LdapCtxFactory.java:262)
	at java.naming/com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:226)
	at java.naming/com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:280)
	at java.naming/com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:185)
	at java.naming/com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:115)
	at java.naming/javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:730)
	at java.naming/javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:305)
	at java.naming/javax.naming.InitialContext.init(InitialContext.java:236)
	at java.naming/javax.naming.InitialContext.<init>(InitialContext.java:208)
	at java.naming/javax.naming.directory.InitialDirContext.<init>(InitialDirContext.java:101)
	at org.acegisecurity.ldap.DefaultInitialDirContextFactory.connect(DefaultInitialDirContextFactory.java:180)
	at org.acegisecurity.ldap.DefaultInitialDirContextFactory.newInitialDirContext(DefaultInitialDirContextFactory.java:261)
	at org.acegisecurity.ldap.LdapTemplate.execute(LdapTemplate.java:123)
	at org.acegisecurity.ldap.LdapTemplate.retrieveEntry(LdapTemplate.java:165)
	at org.acegisecurity.providers.ldap.authenticator.BindAuthenticator.bindWithDn(BindAuthenticator.java:87)
	at org.acegisecurity.providers.ldap.authenticator.BindAuthenticator.authenticate(BindAuthenticator.java:72)
	at org.acegisecurity.providers.ldap.authenticator.BindAuthenticator2.authenticate(BindAuthenticator2.java:49)
	at org.acegisecurity.providers.ldap.LdapAuthenticationProvider.retrieveUser(LdapAuthenticationProvider.java:233)
	at org.acegisecurity.providers.dao.AbstractUserDetailsAuthenticationProvider$1.retrieveUser(AbstractUserDetailsAuthenticationProvider.java:52)
	at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:133)
	at org.acegisecurity.providers.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:66)
	at org.acegisecurity.providers.ProviderManager.doAuthentication(ProviderManager.java:200)
	at org.acegisecurity.AbstractAuthenticationManager.authenticate(AbstractAuthenticationManager.java:47)

解决办法

修改默认的账户密码,修改为登录kubesphere的账号密码

路径 配置=>保密字典=>devops-jenkins

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
改完之后重新部署devops-controller,devops-apiserver,devops-jenkins 这三个服务
在这里插入图片描述

golang 报错 `tls: failed to verify certificate: x509: certificate signed by unknown authority`
JineD的博客
11-28 949
报错的位置是 golang 的 http client,并未有很特殊的配置
docker容器报x509:certificate signed by unknown authority错误
热门推荐
Canger_的博客
03-30 2万+
解决证书验证的问题,x509:certificate signed by unknown authority 我们在构建 docker 镜像时一般使用的是 linux(centos或者ubuntu等待) 系统,默认是不带 ca-certificates 根证书的,导致无法识别外部 https 携带的数字证书。 如图:所以可能会有以下这个错误。 那么,在访问的时候就会抛出 x509: certificate signed by unknown authority 的错误,导致 docker 容器的接口服务返回
go get x509:certificate signed by unknown authority
qq_38189542的博客
03-14 2649
在arm设备上构建golang 1.22的Docker镜像,用来做程序的编译镜像,直接安装用ubuntu作为基础镜像,构建好的镜像,在编译的时候执行go get的时候,会报下面错误。
x509: certificate signed by unknown authority (harbor)
xiunai78的专栏
03-19 2万+
最近在做Docker相关的东西,发现只要一pull镜像,就出现如下的ERROR x509: certificate signed by unknown authority. 调查后发现,是公司IT把https证书换成了公司的证书(目的大家自己猜)。 解决思路: 把替换后的证书直接用openssl拉下来,然后加入到系统(我是Ubuntu)系统证书中,然后使用update-ca-certificate...
x509: certificate signed by unknown authority
最新发布
颹蕭蕭
01-09 3323
如果可能,优先使用方法 1(信任自签名证书),这是最安全和推荐的方式。如果无法获取证书,可以尝试方法 2(禁用 SSL 验证),但请注意安全风险。如果问题仍然存在,可以尝试方法 3(手动拉取镜像)或方法 4(旧版 Docker 的解决方案)。
x509: certificate signed by unknown authority;容器部署的服务建立https通信报错
qq_37106501的博客
11-30 3880
x509: certificate signed by unknown authority docker-compose部署的服务访问https报错
成功解决docker从本地私库push或pull镜像时报x509: certificate signed by unknown authority
weixin_44410358的博客
12-01 6653
成功解决docker从本地私库push或pull镜像时报x509: certificate signed by unknown authorityDockerQ:docker登录私库时提示 x509: certificate signed by unknown authorityA:解决办法Docker的配置文件 daemon.json 详解(当需要配置多个镜像地址怎么写的问题) Docker Q:docker登录私库时提示 x509: certificate signed by unknown autho
certificate signed by unknown authority (possibly because of “crypto/rsa: verification error“ while
标准都是留给不爱的人,爱的本质是自由意志的沉沦
04-29 1434
向集群添加新的工作节点报错:certificate signed by unknown authority (possibly because of “crypto/rsa: verification error” while trying to verify candidate authority certificate “kubernetes”)1、删除这个路径下的文件。
Harbor/Docker: x509: certificate signed by unknown authority
tom_fans的博客
07-27 2万+
完成Harbor安装之后,我们使用docker login/push/pull去与Harbor打交道,上传下载镜像等。 但是发现出现x509: certificate signed by unknown authority之类的错误。 [root@test01 harbor.dev]# docker login harbor.dev Authenticating with existing credentials... Login did not succeed, error: Error respon
Docker 从 Openshift 内部 Registry 拉镜像遇到 x509: certificate signed by unknown authority 错误的解决方案
weixin_52344179的博客
03-17 1025
环境 Openshift 4.6 问题 Docker 从 Openshift 内部 Registry 拉镜像遇到 x509: certificate signed by unknown authority 错误 docker pull default-route-openshift-image-registry.apps.lab.example.com/ibm-spectrum-scale-ns/scale-gui:5.1.0.1 Trying to pull default-route-openshif
Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown Authority
Ficow Shen
11-08 769
  本文首发于 Ficow Shen’s Blog,原文地址: Docker 中使用 scratch 镜像构建 Go 应用镜像,容器报错:X509: Certificate Signed by Unknown Authority。   内容概览 前言 将证书添加到镜像中 不使用 HTTPS 总结   前言   当使用 FROM scratch 构建基于 scratch 镜像的 Go 应用镜像时,如果没有向镜像中添加证书颁发机构(CA, Certificate Au
ubuntu Docker 镜像go使用https出现X509: Certificate Signed by Unknown Authority
thehunters的专栏
07-20 2141
问题成因:应用镜像时,如果没有向镜像中添加证书颁发机构(CA, Certificate Authority)发布的证书,您就有可能遭遇这个错误。解决方法1:可以添加ca-certificates证书,可以将CA证书打包到docker镜像,Dockerfile中增加。解决方法2:忽略证书校验,不过有些第三方库没有这个提供的时候只能使用方法1了。
IOS证书:this certificate was signed by an unknown authority
小太阳GO
03-19 2529
iOS: this certificate was signed by an unknown authority  在 iOS开发中,使用证书时,会出现一些莫名其妙的问题。分明是一个有效的证书,导入到 Key Chain 后, 出现: this certificate was signed by an unknown authority。  如下图。
Get “https://xx.xx.x.xx/v2/“: x509: certificate signed by unknown authority
qq_1801743621的博客
06-26 1372
Get "https://xx.xx.x.xx/v2/": x509: certificate signed by unknown authority
x509: certificate signed by unknown authority harbor 架构图
weixin_30275415的博客
11-04 653
默认时,client 与 Registry 的交互是通过 https 通信的。在 install Registry 时,若未配置任何tls 相关的 key 和 crt 文件,https 访问必然失败。使用"--insecure-registry <harbor IP>"可以指定 client 与 Registry 以 http 的方式进行通信。 [root@c7-QHost ...
x509: certificate signed by unknown authority (possibly because of “crypto/rsa: verification error“
johnhuster的专栏
10-29 7420
执行下面命令初始化k8s集群时 kubeadm init --pod-network-cidr 10.21.0.0/16 \ --image-repository registry.cn-hangzhou.aliyuncs.com/google_containers 通过 kubectl get pods -n kube-system 查看pods状态 发现coredns对应的pod状态为ContainerCreating, 通过kubectl describe pods -n kube-
docker内访问https地址,提示x509: certificate signed by unknown authority
dadaddaddad的博客
10-14 4910
docker内访问https地址,提示x509: certificate signed by unknown authority
K8S节点kubectl命令报错x509: certificate signed by unknown authority
m0_37680131的博客
04-10 1145
问题原因:node节点执行会失败,原因为nginx代理kube-apiserver配置时,upstream后端的apiserver地址配置错误,导致没有注册到正确的master节点。K8S节点上执行kubectl get node命令报错证书问题,查看kubelet日志如下。
go mod tidy 报错tls: failed to verify certificate: x509: certificate signed by unknown authority
08-28
当你在使用 Go 语言的 `go mod tidy` 或者其他涉及网络请求的 `go get`、`go build` 等命令时,可能会遇到 "tls: failed to verify certificate: x509: certificate signed by unknown authority" 的错误。这通常意味着 Go 安装过程中尝试连接到的第三方包的服务器提供的 SSL/TLS 证书不受信任。 这个问题通常是由于以下几个原因: 1. **自签发证书**:第三方仓库使用的是自签名证书,而不是常见的像 Let's Encrypt 这样的受信任证书颁发机构(CA)签发的证书。 2. **证书过期**:证书已经到期,导致无法验证。 3. **证书列表更新**:你的系统证书存储可能未及时更新,不包含该服务器的新证书。 解决这个问题有几种途径: - **忽略安全警告**:如果你确定这个证书是可信的,可以在运行 `go mod tidy` 之前临时禁用证书检查,但这种方式并不推荐长期使用,因为安全性会受到影响。可以这样做: ```sh GOINSECURE=1 go mod tidy ``` - **添加证书的信任**:如果是第三方仓库的问题,你需要手动导入其证书到你的系统证书存储。但这需要对操作系统的证书管理有一定的了解。 - **更新证书存储**:确保你的操作系统证书存储已更新至最新版本,可以使用 `sudo update-ca-certificates` (Linux) 或 `sccp -f cacert.pem /usr/local/share/ca-certificates` (macOS)。 - **更换镜像源**:如果可能的话,选择一个提供受信任证书的官方或者知名的 Go 包镜像源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值