【云原生技术】K8s 在拉取镜像时报错tls: failed to verify certificate: x509: certificate signed by unknown authority

于 2025-07-04 16:16:12 发布
阅读量1k 收藏 21
点赞数 30
CC 4.0 BY-SA版权
分类专栏: 从0到1玩转DevOps&云原生 文章标签: 云原生 kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46453070/article/details/149120095

K8s 在拉取镜像时报错tls: failed to verify certificate: x509: certificate signed by unknown authority

一、部署的时候报这个错是怎么回事?

原因
Kubernetes 节点在拉取镜像时会对 Harbor 的 HTTPS 证书做严格校验;
日志里的核心报错是:

tls: failed to verify certificate: x509: certificate signed by unknown authority

说明 Harbor 返回的服务器证书要么是自签发,要么缺少在系统信任链里的根/中级 CA,节点因此拒绝连接。

你需要让 所有负责拉镜像的节点(containerd 或 Docker 守护进程)信任 Harbor 的证书,或者把该 Registry 声明为 “insecure registry”。

──────────────────────────────
一、把自建 CA 或 Harbor 证书加入节点信任链(推荐)
──────────────────────────────
下面以常见的 containerd + systemd 发行版为例,Docker 做法类似:

  1. 拿到 Harbor 根 CA 证书
    • Harbor Web UI → Administration → Configuration → Certificates
    • 或直接从 Harbor 主机拷贝 /data/secret/ca.crt
    假设文件名为 harbor-ca.crt

  2. <
了解本专栏 订阅专栏 解锁全文
golang 报错 `tls: failed to verify certificate: x509: certificate signed by unknown authority`
JineD的博客
11-28 1338
报错的位置是 golang 的 http client,并未有很特殊的配置。
解决docker 推送自签证书仓库报错x509: certificate signed by unknown authority错误
菜鸡的博客
12-11 2103
这个错误表明Docker客户端尝试与一个Docker仓库进行安全通信,遇到了证书认证问题。具体来说,通信的服务器提供的SSL证书不是由一个受信任的认证机构签发的,客户端无法验证该证书的真实性。
使用kubeconfig报错x509证书认证错误-->failed to verify certificate: x509
m0_63577947的博客
06-19 2907
连接出现问题报错,查看logs显示报错信息使用以下命令解析 apiserver 证书得到允许访问服务端的地址信息。
k8s系列之:Unable to connect to the server: x509: certificate signed by unknown authority
zhengzaifeidelushang的博客
03-23 3987
k8s系列之:Unable to connect to the server: x509: certificate signed by unknown authority K8s使用kubeadm reset初始化k8S集群,再使用 kubectl get pods -n kube-system查看Pod出现如下报错: Unable to connect to the server: x509: certificate signed by unknown authority (possibly becau
docker容器中go访问https出错tls: failed to verify certificate: x509: certificate signed by unknown authority
DisMisPres的博客
04-24 1485
docker容器中访问https,是缺少了CA证书,在制作镜像要记得添加一下证书。
golang中请求接口出错 tls: failed to verify certificate: x509: certificate signed by unknown authority
秋̶᭄ꦿ攻城狮࿆ྂ
01-14 2211
如果你遇到 tls: failed to verify certificate: x509: certificate signed by unknown authority 的错误,通常是因为 Go 的 HTTP 客户端无法验证服务器的 SSL/TLS 证书。这可能是因为证书是自签名的,或者是由一个不被信任的证书颁发机构(CA)签发的 .在开发和测试阶段,忽略证书验证可能是方便的,但在生产环境中,确保使用受信任的证书是非常重要的,以保护数据的安全性。
【爬坑日志】微信公众号服务 tls: failed to verify certificate: x509
fengle_er的博客
06-03 4605
通过以上步骤,你可以在基于Ubuntu的Docker镜像中成功安装所需的根证书,从而解决"tls: failed to verify certificate: x509: certificate signed by unknown authority"错误。这样可以确保在容器内部的网络请求中证书验证能够成功进行,保证服务的正常运行。在基于Ubuntu的Docker镜像中,安装。在实际部署过程中,除了安装根证书,还应该检查相关服务的证书配置是否完整,确保证书链的完整性,以增强安全性并避免类似的证书验证问题。
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
寂夜了无痕的博客
05-16 2791
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
K8S节点kubectl命令报错x509: certificate signed by unknown authority
m0_37680131的博客
04-10 1293
问题原因:node节点执行会失败,原因为nginx代理kube-apiserver配置,upstream后端的apiserver地址配置错误,导致没有注册到正确的master节点。K8S节点上执行kubectl get node命令报错证书问题,查看kubelet日志如下。
go发邮件问题:tls: failed to verify certificate: x509: certificate signed by unknown authority
风声的专栏
08-07 1100
用go发邮件,遇到个问题,记录一下。
k8s-for-docker-desktop部署成功后又长间starting后续产生的tls: failed to verify certificate: x509: certificate问题
weixin_68339359的博客
07-18 426
未解决理由:不存在/etc/kubernetes/这个文件夹,我wsl环境下的apt无法正常使用,故使用docker-desktop的方式安装docker,并尝试部署K8s。Q2:在部署好v1.29.2的k8s-for-docker-desktop后第二天,出现了长k8s is starting,由于没有注意到。未解决理由:仍然是不存在/etc/kubernetes/这个文件夹,并且在加上sudo的情况下仍然会显示没有编辑root下文件的权限。提供的解决方案,尝试重新执行sh文件后产生如下问题。
Error response from daemon: Get "https://10.0.1.34/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority
最新发布
07-11
当遇到 `Docker error response from daemon: Get https://10.0.1.34/v2/: tls: failed to verify certificate: x509: certificate signed by unknown authority` 错误,表明 Docker 客户端无法验证远程仓库的 TLS...
error pulling image configuration: download failed after attempts=6: tls: failed to verify certificate: x509: certificate signed by unknown authority 如何手动下载
05-28
当出现`x509: certificate signed by unknown authority`错误,说明Docker无法验证目标镜像仓库的证书合法性。常见原因包括: - 私有仓库使用自签名证书[^3] - 系统CA证书未更新[^2] - 容器间与证书有效期不匹配...
Get "https://reg.timinglee.org/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority
03-17
具体表现为`x509: certificate signed by unknown authority`错误消息,这通常意味着客户端未能找到用于签名目标证书的信任根证书。 #### 可能原因 1. **缺少信任的CA证书** 客户端环境中未包含签发目标证书的CA...
docker容器x509:certificate signed by unknown authority错误
热门推荐
Canger_的博客
03-30 2万+
解决证书验证的问题,x509:certificate signed by unknown authority 我们在构建 docker 镜像一般使用的是 linux(centos或者ubuntu等待) 系统,默认是不带 ca-certificates 根证书的,导致无法识别外部 https 携带的数字证书。 如图:所以可能会有以下这个错误。 那么,在访问的候就会抛出 x509: certificate signed by unknown authority 的错误,导致 docker 容器的接口服务返回
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 7259
29号晚上同事发现部署的API接口服务崩了。同k8s服务也崩了(我们自己写的API服务调用k8s)。当就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid
min19900718的博客
08-06 1万+
生成证书后,立即使用,报以上错误,原因是生成证书的机器间要比服务器间快,导致服务器验证,证书超出了间使用范围。 解决办法: 1、服务器和生成证书机器进行间同步更新 2、或者直接调整生成证书的机器间,小于服务器的间 ...
tls: failed to verify certificate: x509: cannot validate certificate for x.x.x.x because it doesn‘t
weixin_45691464的博客
11-14 2193
jenkins上没有基础镜像,需下载,再次构建镜像就没问题了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿寻寻

你的鼓励将是我创作的最大动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值