По моему опыту, даже самые современные ca-certificates пакеты иногда не содержат всех 3 Let's Encrypt сертификатов .Решение (?) Состоит в том, чтобы загрузить их в «управляемый пользователем» каталог сертификатов (часто /usr/local/share/ca-certificates), а затем повторно запустить update-ca-certificates:
# the first one very likely is already in your chain,
# but including it here won't hurt anything
for i in isrgrootx1.pem.txt lets-encrypt-x3-cross-signed.pem.txt letsencryptauthorityx3.pem.txt
do
curl -vko /usr/local/share/ca-certificates/`basename $i .pem.txt`.crt \
https://letsencrypt.org/certs/$i
done
update-ca-certificates
ИдеальноВ результате этот процесс будет выполняться для каждого узла в кластере, а затем том смонтирован каталог фактический ssl в контейнеры, так что каждый контейнер использует новейшие сертификаты.Однако, я думаю, простое выполнение в затронутых контейнерах тоже может сработать.
update: я неправильно запомнил, это /usr/local/..., и эти файлы, очевидно, должны заканчиваться на .crt,не .pem