我有一个具有根 CA 和从属 CA 的环境。我的环境是混合的。我同时拥有 Windows 和 Linux(Ubuntu 18)服务器。
在 Windows 机器上,只需将根 CA 添加到受信任的根证书存储区即可,从那时起,由下属 CA 颁发的所有证书都会受到计算机的信任。
在 Ubuntu 机器上,我也将根 CA 安装到了受信任的根 CA 存储区,但我发现,当docker pull
从私有注册表运行由下属 CA 颁发的证书时,出现错误:Error response from daemon: Get https://<server>:5000/v2/: x509: certificate signed by unknown authority
花了好几个小时后我才意识到我需要安装下属 CA 以及根 CA。
这是为什么呢?如果从属根 CA 受到信任,那么从属签名证书是否也应该受到信任?
答案1
问题是由于服务器证书链中缺少从属证书。一旦添加,一切都正常运行。
感谢用户 Gerrit 的帮助:)