Не удалось получить изображение Docker с помощью Docker для Windows через SSL

Question

Я использую движок докера 2.0.0.0-win77 (28777). На моем macOS мне удалось получить изображения из личного реестра док-станции моей компании. Затем я хочу сделать это на моей машине с Windows. Прежде чем что-то сделать, у меня есть:

> docker pull <company.docker.url>/<some image>
Error response from daemon: Get https://<company.docker.url>/v2/: x509: certificate signed by unknown authority

Затем я импортировал сертификаты в свое хранилище пользовательских сертификатов Windows. Теперь у меня есть:

> docker pull <company.docker.url>/<some image>
Error response from daemon: Get https://<company.docker.url>/v2/: remote error: tls: handshake failure

После этой неудачи я попытался:

• Импортировал сертификаты в мое глобальное хранилище сертификатов Windows.

• Скопировал файлы client.cert, client.key и ca.crt в мою Windows 10 в:

  • C:\ProgramData\Docker\certs.d\<company.docker.url>\
  • C:\Users\<user>\.docker\certs.d\<company.docker.url>\

К сожалению, я все еще получаю это:

> docker pull <company.docker.url>/<some image>
Error response from daemon: Get https://<company.docker.url>/v2/: remote error: tls: handshake failure

Еще две вещи, на которые стоит обратить внимание:

• Если я переключусь на контейнеры Windows, я смогу успешно войти в систему или получить изображения, произойдет сбой только с версией Linux Containers.
• Мой личный сертификат подписан промежуточным сертификатом, а промежуточный сертификат содержится в моем client.cert.

Некоторые ссылки, которые я прочитал:

• Проверка клиента репозитория с сертификатами
• Невозможно подключиться к реестру с помощью сертификата клиента, подписанного промежуточным сертификатом
• Сертификат Docker реестра SSL CA в Windows?
• Docker для Windows FAQ по сертификатам

Answer 1

В моем случае наш брандмауэр Sophos заблокировал доступ. Я подключился напрямую к интернету, и это сработало. Я должен спросить моих коллег, почему это заблокировано.

Answer 2

Когда я возился с докером на прошлой неделе, программа сказала, что вам нужна Windows 10 Professional, и у меня была только домашняя версия, поэтому я не мог заставить ее работать, проверьте вашу версию Windows 10 в качестве предложения.

Answer 3

У меня тоже была эта ошибка на windows. В моем случае перезапуск демона docker помог.

Answer 4

У вас проблема с установлением соединения TLS с company.docker.url. Возможные проблемы:

• company.docker.url разрешает только те шифры, которые не поддерживаются вашими контейнерами Linux. Протестируйте company.docker.url с помощью https://github.com/drwetter/testssl.sh и сравните список обнаруженных шифров со списком поддерживаемых шифров контейнеров Linux. (Я предполагаю, что Linux Containers = некоторая виртуальная машина Hyper-V, где вы можете напрямую отлаживать TLS-соединение).

• Порядок листового и промежуточного сертификата должен быть в определенном порядке в вашем файле сертификата для формирования правильной цепочки сертификатов - от Golang doc https://golang.org/pkg/crypto/tls/#LoadX509KeyPair:

  Файл сертификата может содержать промежуточные сертификаты после листового сертификата для формирования цепочки сертификатов.

Answer 5

Я бы попробовал две вещи:

• Вы пробовали: войти в докер сначала, прежде чем вытащить образы?
• Перезапустите клиент и повторите.