由于ZScaler和证书问题，无法使用码头

Question

我在VMware播放器上运行了VMware光子操作系统。这将用作运行Docker容器的主机操作系统。

但是，由于我在ZScaler后面，所以在运行访问外部资源的命令时遇到了问题。例如，docker pull python为我提供了以下输出(我添加了一些换行符以提高其可读性)：

error pulling image configuration: 
Get https://dseasb33srnrn.cloudfront.net/registry-v2/docker/registry/v2/blobs/sha256/a0/a0d32d529a0a6728f808050fd2baf9c12e24c852e5b0967ad245c006c3eea2ed/data
?Expires=1493287220
&Signature=gQ60zfNavWYavBzKK12qbqwfOH2ReXMVbWlS39oKNg0xQi-DZM68zPi22xfDl-8W56tQmz5WL5j8L39tjWkLJRNmKHwvwjsxaSNOkPMYQmhppIRD0OuVwfwHr-
1jvnk6mDZM7fCrChLCrF8Ds-2j-dq1XqhiNe5Sn8DYjFTpVWM_
&Key-Pair-Id=APKAJECH5M7VWIS5YZ6Q: 
x509: certificate signed by unknown authority

我尝试从我的ZScaler工作站提取ZScaler的CA根证书(以ZScaler格式)，并将它们附加到/etc/pki/tls/certs/ca-bundle.crt中。但即使在重新启动Docker之后，这个问题也没有得到解决。

我已经阅读了许多帖子，其中大多数引用了我的系统中不存在的命令update-ca-trust (即使安装了ca-certificates包)。

我不知道如何前进。AFAIK有两个选择。以下任一项：

• 添加ZScaler证书，以便信任SSL连接。
• 允许与Docker集线器的不安全连接(但即使这样，它也可能会抱怨，因为证书不受信任)。

顺便说一句，后者可以工作，例如，使用curl选项执行-k允许我访问任何https资源。

Answer 1

问题是zscaler作为中间人在您的组织中执行ssl检查(请参阅https://support.zscaler.com/hc/en-us/articles/205059995-How-does-Zscaler-protect-SSL-traffic-)。

既然您已经尝试过将证书放入坞中，我猜您已经熟悉了https://stackoverflow.com/a/36454369/1443505中描述的步骤。对于zscaler场景，这个答案几乎是正确的。需要注意的一点是，因为zscaler拦截了CA树。我们需要把所有的证书加到链上。

目前，zscaler后面的证书链如下所示

​

​

我们需要逐个导出它们，并按照https://stackoverflow.com/a/36454369/1443505中的说明进行每个导出。