通过microk8s获取“x509:由未知机构签署的证书”
基础概念
“x509:由未知机构签署的证书”是一个常见的TLS/SSL证书错误,表示客户端无法验证服务器证书的有效性。这通常是因为证书是由一个不被客户端信任的证书颁发机构(CA)签发的。
相关优势
- 安全性:使用有效的TLS/SSL证书可以确保数据在传输过程中的安全性。
- 信任度:由受信任的CA签发的证书可以提高用户对网站的信任度。
类型
- 自签名证书:由个人或组织自行签发,不被公共CA信任。
- 私有CA签发的证书:由企业内部的CA签发,仅在内部网络中有效。
- 公共CA签发的证书:由知名的公共CA(如Let's Encrypt、DigiCert等)签发,广泛被客户端信任。
应用场景
- Web服务器:确保网站数据传输的安全性。
- API服务:保护API接口不被未授权访问。
- 内部服务:在企业内部网络中使用私有CA签发的证书。
问题原因
在microk8s环境中,出现“x509:由未知机构签署的证书”错误可能有以下原因:
- 自签名证书:如果你使用的是自签名证书,客户端默认不会信任它。
- CA证书未安装:客户端没有安装签发该证书的CA证书。
- 证书过期:证书已经过期,不再有效。
- 证书链不完整:证书链中缺少中间证书。
解决方法
1. 使用公共CA签发的证书
使用Let's Encrypt等公共CA签发证书:
sudo snap install certbot --classic
sudo certbot certonly --standalone -d yourdomain.com2. 安装私有CA证书
如果你使用的是私有CA签发的证书,需要在客户端安装该CA的根证书:
sudo cp /path/to/ca.crt /usr/local/share/ca-certificates/ca.crt
sudo update-ca-certificates3. 检查证书有效期
确保证书没有过期:
openssl x509 -in /path/to/certificate.crt -text -noout | grep "Not After"4. 确保证书链完整
确保证书链中包含所有必要的中间证书:
cat /path/to/certificate.crt /path/to/intermediate.crt > /path/to/complete_chain.crt参考链接
通过以上方法,你应该能够解决“x509:由未知机构签署的证书”错误。
相关·内容
1回答
如何定义库伯内特斯吊舱的证书?
、、、、
我正在通过jenkins.I运行一个作业,我在job.How中运行job.How文件,我能定义我从deploymenty.yml文件创建的pod证书吗?我怎样才能把证书出示给船舱?
ERROR kubelet failed to pull image “ip_adress/demo:0.2.0”: rpc error: code unknown desc= failed to pull and unpack image “ip_adress/demo:0.2.0”: failed to resolve reference “ip_adress/demo:0.2.0” : failed to
浏览 1提问于2022-10-18得票数 0
有没有人能解释一下客户是做什么用的?
http:
addr: localhost:5000
prefix: /my/nested/registry/
secret: asecretforlocaldevelopment
tls:
certificate: /path/to/x509/public
key: /path/to/x509/private
clientcas:
- /path/to/ca.pem
- /path/to/another/ca.pem
debug:
ad
浏览 0提问于2015-05-07得票数 0
我正在尝试将openshift与我的内部ldaps服务器配置为IDP。
但问题是,我的内部ldaps是自签名的,没有任何根ca签名。
在master-config.yaml中,我尝试将自签名证书配置为ca属性,但总是出现错误:
LDAP ]使用提供程序“customer_own_ldap”对"xifeng“进行身份验证时出错:LDAP结果代码200 "":x509:未知颁发机构签署的证书。
我知道master-config.yaml中的ca属性可能需要一个ca-bundle证书。但我这里的案例是一个自签名的证书。
请告诉我如何解决这个问题?
浏览 2提问于2016-12-08得票数 0
1回答
我在Go中创建了一个低级的HTTP/2服务器,为了测试,我想使用一个自签名证书。我使用openssl和这个命令来生成我的证书: openssl req -x509 -newkey rsa:4096 -nodes -sha256 -subj /CN=localhost -keyout private.pem -out cert.pem 一切似乎都很好,当我curl -kv https://127.0.0.1:443 --http2-prior-knowledge时,我得到了this handshake 当我尝试连接chrome时,我得到了这个错误代码NET::ERR_CERT_AUTHORIT
浏览 419提问于2021-01-22得票数 0
我是一个错误,当我试图拉码头形象。我们已经设置了代理,在我们的组织中我们有显式代理,因此要访问外部服务器,我们必须设置它。
[root@DX2821 city]# docker pull hellow-world
使用默认标记:最新
来自守护进程的错误响应:
获取:x509:由未知权威机构签名的证书
浏览 2提问于2018-05-31得票数 3
1回答
我不知不觉地删除了通常命名为以下名称的密钥链系统证书 Software Signing
com.apple.systemdefault
com.apple.kerberos.kdc
Apple Worldwide Developer Relations Certification Authority
Apple Code Signing Certification Authority 现在,当我尝试为iOS开发创建开发人员证书并安装该证书时,系统会显示以下错误 “此证书由未知的颁发机构签署” 我不知道如何找回它们。 我已经经历了 这个 如果有人在附近工作,请帮助。
浏览 59提问于2012-11-09得票数 3
这可能不是一个非常聪明的问题,但我已经做了作业,四处寻找答案,我似乎找不到它。我仍然是新的使用SAML术语在这篇文章,所以我将在下面定义我如何使用它们。
身份验证=我的公司已经实现了SAML,以便我们的AD/LDAP对我们使用的其他应用程序的所有用户进行身份验证。
Service =是使用SAML2.0提供LDAP身份验证所依赖的应用程序的公司。
据我所知,我们面临的问题是。在我们的SAML2.0的实现中使用了一个证书,该证书将很快过期,并且当它完成时,所有服务提供者都将无法进行身份验证。
我正在试图找出web /如何更改此证书,但我被web浏览器用于HTTP的SSL证书搞混了。
任何建议都会
浏览 12提问于2011-01-27得票数 1
回答已采纳
我正在尝试使用sign tool对我的WIX EXEs中的一个进行签名。当我创建证书并将其安装到windows证书存储中时,我可以使用签名工具轻松地验证EXE。但是当我尝试创建一个PFX文件并对其进行签名时,它被成功地签名了。但是当我尝试验证它时,它抛出了下面的错误。
SignTool Error: WinVerifyTrust returned error: 0x800B010A
A certificate chain could not be built to a trusted root authority.
Number of errors: 1
我尝试使用证书链,并使用答案
浏览 8提问于2016-06-25得票数 0
2回答
我同时创建了客户机和服务器证书:
# client
openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out ssl/client.crt -keyout ssl/client.key
# server
openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out ssl/server.crt -keyout ssl/server
然后,对于python,我有以下内容:
import requests
response = requ
浏览 6提问于2022-11-02得票数 0
我有一个kubernetes集群设置,我试图从我的pod向google cloud pub/sub发布一条消息。当POST调用(由后台API创建)由pod执行时,会失败,原因如下:
2016/07/21 10:31:24 Publish failed, Post https://pubsub.googleapis.com/v1/projects/<project-name>/topics/MyTopic:publish?alt=json: x509: certificate signed by unknown authority
我已经在我的docker Debian镜像的/etc
浏览 12提问于2016-07-21得票数 2
回答已采纳
我有2个渠道在我的Hyperledger区块链上运行,我需要创建用户,并需要为他们创建一个策略,以访问特定的渠道,我该怎么做。我已经运行了fabric-ca服务器,下一步该做什么?
浏览 14提问于2017-08-10得票数 1
更新“构建您的第一个网络文档”中的锚节点时出现了Hyperledger Fabric错误。此错误如下所示。
错误:未能创建交付客户端: orderer客户端未能连接到orderer.example.com:7050:未能创建新连接: x509:由未知权威机构签名的证书
我需要你的帮助。
浏览 0提问于2018-04-26得票数 7
CA证书与客户端证书相同吗?
如果不是,我如何获得客户证书?如果是,我如何使用它作为客户证书?
对这个愚蠢的问题很抱歉。
提前谢谢。
浏览 0提问于2013-01-18得票数 4
回答已采纳
我有一个批处理(.bat)文件,它将数字签名安装到客户端的LocalMachine\Root中,以便在启动安装程序时,从Inno安装程序编译的exe将不会从Windows UAC获得未知的发布者提示。
如果无论如何我们可以从编译的exe运行批处理文件本身,则在安装开始后,将不会显示未知发布者提示。
浏览 20提问于2021-04-26得票数 0
我想建立一个与自签署证书的安全连接。我为openssl使用了以下conf文件
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
countryName = EN
stateOrProvinceName = NY
localityName = New York
organizationName = MyOrg
organizationalUnitName = MyDept
[v3_req]
subjectKeyIdent
浏览 0提问于2018-04-14得票数 1
我有一个服务器运行,其中生成了一个证书,该证书由:
更新:也尝试过这个:
openssl genrsa -out myselfsigned.key 2048
openssl req -new -x509 -sha256 -key myselfsigned.key -out myselfsigned.cer -days 365 -subj /CN=x.x
将证书导入mac密钥链-工作正常。
Update 1:通过电子邮件将证书(或见)发送到我的iPhone,并以绿色复选标记安装它。也就是说,它已经安装好了,可以说已经确认了。
这是不起作用的.
当我在iOS中打开网
浏览 0提问于2016-05-12得票数 1
2回答
是否可以接收证书请求( CSR )并将其转换为自签名的X509证书,而无需访问签名该证书的私钥?我想做以下工作:从客户端接收CSR,并将其直接转换为自签名的X509证书,就好像它是客户端自行签名的一样(我知道它很红,但它是针对一个项目的)。基本上,我希望将CSR复制到X509证书,而不对证书进行签名。我想要这样做,例如openssl或golang (就这个问题而言,openssl就足够了)。
浏览 0提问于2019-05-06得票数 0
我正在使用下一个命令来创建自签名数字签名证书:
openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout myCert.pem -out homeMadeCrt/myCert_20140209_230846.pem -subj "/C=IL/ST=Oregon/L=Portland/O=companyName/CN=CommonName/GN=GivenName/SN=SureName/emailAddress=email@addresss.com/serialNumber=123456"
openssl pkcs1
浏览 25提问于2014-02-10得票数 3
4回答
免责声明:我对X.509和PKI知之甚少,所以我希望得到一个并非完全技术性的答案,即使用真实的示例场景。)
我在搜索关于4096位TLS证书的信息,发现文章正在谈论它,以及如何生成一个自签名证书。
签你自己的钥匙。openssl x509 -req -days 730 -in my.csr -signkey my.key -out my.crt签署您的密钥将为您节省每年几美元的CA费用,但除非他们导入您的证书,否则它不会被其他人识别。
别人认不出来的那部分,让我纳闷。对我来说,X.509/PKI的工作方式有点像OpenPGP:它具有非对称密码学,信任是通过认证建立的,等等。
让我们以一个广受信
浏览 0提问于2014-05-12得票数 1
回答已采纳
为了创建VPN,我找不到OpenSSL/x 509方案的逻辑解释。我对这三个术语感到非常困惑,
证书颁发机构
网关证书
终点证书。
我读过Openswan:构建和集成虚拟专用网和构建Linux虚拟专用网(VPNS)。在我看来,这两本书都假定了普通程序员所不具备的大量知识,即OpenSSL的x509内容是如何工作的。我了解公钥加密的基本知识,发送您的公钥,让接收者将他们的消息加密给您,这些消息只能用您的私钥解密。我在这里也读过其他的答案,所以让我具体说明一下我的困惑所在。
我应该把OpenSSL Certs想成
证书颁发机构→网关证书→端点证书
或,
→网关证书颁发机构→端点证书
归根结底就是这
浏览 0提问于2013-08-03得票数 3
在本地安装openshift之后,我可以启动minishift。论
当启动'oc‘命令时,比如'oc项目’,那么我会得到以下错误:
无法连接到服务器: x509:由未知权威机构签名的证书
当我启动一个'oc‘命令而不启动微小的移动时,我会得到以下错误:
无法连接到服务器:拨号tcp 192.168.x.y:8443: connectex:(翻译)尝试连接失败,因为连接方在一定时间后没有正确回答,或者建立的连接失败了,因为连接主机没有响应。
以前:我可以在Openshift在线上使用oc。
浏览 1提问于2018-06-01得票数 5
回答已采纳
2回答
我最近使用node.js创建了一个HTTPS服务器。该证书是从该网站免费创建的。
使用此自签名证书时,chrome浏览器始终提示HTTPS网站不安全。我在网上做了一些研究,似乎正确的证书是要花钱的。是否可以免费生成证书并被浏览器接受为安全证书?
浏览 4提问于2015-12-03得票数 0
1回答
我目前正在编写一个桌面应用程序,这将需要与我的远程服务器上的PHP脚本通过https(自签名证书)进行通信。然而,服务器-客户端通信代码仍处于规划阶段,因为我还没有弄清楚如何(在客户机上)验证我实际上正在与服务器通信。我假设有一些方法可以使用证书来验证服务器的身份。我打算使用WinHTTP进行https通信,前提是它具有我需要的所有功能。
浏览 1提问于2015-08-10得票数 0
因此,我正在开发matrix.org synapse homeserver,并尝试进行联邦。
我拿到了证书,因为我的homeserver.It里面有3个文件:chain.crt(二进制),server.crt(非二进制)和server.key(非二进制)。
server.crt有begin证书,server.key有私钥。我使用Nginx webserver反向代理我的本地服务器,在Nginx的配置中,我将SSl证书指向server.crt,将SSl密钥指向server.key。
我在中遇到的问题是,它显示的是x509:由未知机构签署的证书。
我是否需要在某些地方包含chain.crt(二进制
浏览 6提问于2019-11-21得票数 1
2回答
忽略apache上的自签名证书
、、、、
主要的想法是我想将我的真实网页升级到https,但它正在生产中,我想在我的本地服务器上进行升级,以确保它正常工作,然后将所有更改转移到生产中。所以我正在尝试创建本地的https网站,但是我的浏览器Google Chrome给了我错误。我在我的linux终端中编写了以下命令,用于创建自签名证书
sudo openssl req -new -sha256 -out new.ssl.csr
sudo openssl rsa -in privkey.pem -out new.cert.key
sudo openssl x509 -in new.ssl.csr -out new.
浏览 2提问于2016-09-30得票数 1
3回答
作者不知道是否有jar签名
、、、、
在Java中签名jar,我按照以下三个步骤进行签名
keytool -genkey -keystore myKeyStore -alias mekeytool -selfcert -keystore myKeyStore -alias mejarsigner -keystore myKeyStore jarfile.jar me
我的问题如下:
之后,我运行了我的applet,为什么它显示作者是未知的?,我可以为我的jar给-validity多少天,我能给出的最大天数是多少?
浏览 3提问于2012-05-24得票数 0
回答已采纳
2回答
我们有JAVA服务器和客户端使用SSL在网络上进行通信。服务器和客户端使用证书相互验证。服务器和客户端使用的keystore类型是JKS。服务器和客户端的密钥库和信任库文件名为: server.keystore、server.truststore、client.keystore和client.truststore。
我只使用自我签署的证书进行测试.
问题:
Q1。我想知道为什么在步骤6中我需要将服务器和客户端自己的证书添加到他们各自的信任库中。
Q2。我可以减少步骤数来实现同样的目标吗?如果是,那怎么做?
步骤为服务器创建RSA密钥、自签名证书、密钥存储库和信任存储库。
1.生成一个私用RSA
浏览 3提问于2017-02-22得票数 11
我有一个VS2008安装项目创建。我正尝试以标准用户的身份在Windows7计算机上安装它。在安装过程中,我收到一个关于未知发布者的警告。我已经使用makecert创建了一个证书,然后将其转换为密码pfx文件。我已经用pfx文件对msi和setup.exe进行了数字签名。当我进入文件属性时,我可以看到附加的数字证书。在Windows7机器上,我将pfx文件导入"Trusted Publisher“。我需要做些什么才能消除警告?我不能拥有安装应用程序所需的管理员用户和密码。我无法更改UAC设置。我需要对证书/设置文件进行更改才能使其正常工作。
浏览 2提问于2010-06-16得票数 10
回答已采纳
我试图建立一个基于卡夫卡的超级分类账配置与一个单一的组织。
我有一个工作的码头网络,允许集装箱通信。卡夫卡/动物园管理员的设置似乎也运行良好;订购者记录并识别所有四个卡夫卡节点。当试图在否则的空白设置上创建一个新通道时,我遇到了这个问题。
我运行的引导网络的命令是:
cryptogen generate --config=crypto-config.yaml
configtxgen -profile MyFakeOrgGenesis -outputBlock ./channel-artifacts/genesis.block
configtxgen -profile Channel1 -
浏览 0提问于2018-05-03得票数 0
1回答
我在试着验证亚马逊的SNS消息。它由X.509证书签名,并提供证书的URL。
我在对照证书检查签名时没有问题,但是如何知道证书是有效的?
我看到了许多地方,这些地方展示了如何让OpenSSL验证在SSLSocket上使用的证书,但我看不出如何仅仅检查证书是否有效。
我想我可以用"shell“来运行类似openssl x509 -in <file> -text -noout的程序,并解析输出,但这似乎是一个蹩脚的解决方案。
所以:
cert = OpenSSL::X509::Certificate.new(Faraday.get(cert_url).body)
# now w
浏览 2提问于2015-03-07得票数 9
回答已采纳
我已经遍历了x509证书的不同字段,并遇到了一些字段,这些字段允许限制证书的使用(例如,某些域)。是否可以限制证书链中下一个证书的公钥大小和签名算法?
浏览 0提问于2018-05-21得票数 1
回答已采纳
1回答
我有一个RSA公钥,它是我从x509证书中转换而来的,我希望能够将SSH密钥转换回x509证书,以便将值与原始证书进行比较。
我怎么会这么做呢?而这是否有可能只使用公钥呢?
谢谢。
浏览 0提问于2014-02-18得票数 2
回答已采纳
1回答
我在Apache mod_ssl模块中使用自签名证书,但是我得到了
> curl_easy_perform() failed on: https://localhost/auth/example (SSL
> certificate problem: self signed certificate)
他们有没有办法让ssl不会失败?我知道curl有一个选项--insecure或-k,那么有没有类似的东西可以添加到http-ssl.conf中?
浏览 2提问于2015-03-11得票数 0
1回答
我创建了Dockerfile,当我在服务器血流7.6 (Maipo)上运行命令docker build -f Dockerfile -t application:0.0.1-snapshot .时,我得到了以下错误:
步骤1/5 :来自openjdk:8
获取:x509:由未知权威机构签名的证书
浏览 1提问于2019-01-16得票数 0
3回答
我在(GAE) python2.7运行时内工作。
我需要签名(并可能生成)一个X509证书(.csr)。
我找到了几个依赖于的。
据我所知,PyOpenSSL是OpenSSL的包装器,在App中不可用。
是可用的,但没有明确的X509预构建签名方法.
如何仅使用python签署X509 .csr?
浏览 25提问于2016-06-25得票数 5
回答已采纳
4回答
数字证书的类型和类别
、、、
我正在使用OpenSSL来实现数字签名。
作为需求的一部分,我需要标识证书的类别。据我所知,证书的类和类型是特定于供应商的。
但是,我想知道是否有任何方法可以从X509证书中识别和检索此类信息?
浏览 1提问于2013-01-23得票数 2
回答已采纳
我刚去了accounts.google.com,我注意到火狐报告(未知)是google.com的所有者。我该担心这个吗?
这是一张荷兰的证书截图:
📷
浏览 0提问于2012-10-04得票数 5
回答已采纳
1回答
这是我生成自签名证书的一行
openssl req -x509 -out localhost.crt -keyout localhost.key \
-newkey rsa:2048 -nodes -sha256 \
-subj '/CN=example.com' -extensions EXT -config <( \
printf "[dn]\nCN=example.com\n[req]\ndistinguished_name = dn\n[EXT]\nsubjectAltName=DNS:example.com\nkeyUsage=digita
浏览 0提问于2018-04-06得票数 1
回答已采纳
我正在尝试设置一个私有坞注册中心,该注册中心由反向nginx代理保护,该代理通过客户端证书验证用户。
我得到的错误是:
x509:由身份不明的机构签署的证书
根据文档,您应该能够将证书添加到/etc/docker/certs.d/中,我已经这样做了。“码头工人”似乎看到证书的位置:
呼叫POST /v1.24/images/create?fromImage=docker.squadwars.org%2Froster&tag=latest DEBU0015 hostDir: /etc/docker/certs.d/docker.squadwars.org DEBU0015 ce
浏览 13提问于2016-08-27得票数 5
在之后,尝试使用Mac上的流浪者设置Kubernetes。使用Ansible Playbook步骤:
- name: Initialize the Kubernetes cluster using kubeadm
command: kubeadm init --apiserver-advertise-address="192.168.50.10" --apiserver-cert-extra-sans="192.168.50.10" --node-name k8s-master --pod-network-cidr=192.168.0.0/16
我得
浏览 27提问于2019-04-22得票数 1
当我打开网络内部的内部应用程序(Intranet企业应用程序)的SSL详细信息时,我看到3个级别的证书?每个级别的含义是什么?
浏览 3提问于2019-01-15得票数 0
我正在工作的应用程序需要通过https连接到and服务,证书是可信和有效的。
我在以前的项目中使用过NSURLConnection来使用soap over http
谁能指出上面提到的两种情况之间的区别,我还需要了解当通过https连接时到底发生了什么,证书是自动存储在设备上的,ssl握手是如何发生的。
在这个方向上的任何指针都会非常有帮助。
问候你,伊珊
浏览 0提问于2012-04-25得票数 1
回答已采纳
我已经使用kops安装了kubernetes集群。
从的节点来看,一切都是完美的(假设节点A)。
我正在尝试从另一个安装了kubectl的服务器连接kubernetes集群(节点B)。我已将~/..kube从节点A复制到B。但是,当我尝试执行基本命令时,如下所示:
kubectl get pods
我得到了:
无法连接到服务器: x509:由未知权威机构签名的证书
我的配置文件是:
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0
浏览 4提问于2017-07-22得票数 0
我学习了各种教程和堆栈溢出问题,以了解如何创建一个自签名证书,确保它具有服务器alt名称,使用它为快速服务器配置https,并从浏览器成功地向服务器发出请求(在将证书作为可信证书添加到浏览器之后)。
我重新下载了证书如下:openssl s_client -showcerts -servername mydevserver -connect mydevserver:443 </dev/null
然后我将'begin证书‘和'end证书’之间的文本复制到/etc/ssl/thecert.crt
使用命令行工具访问相同的https端点不起作用,例如:curl -v --cac
浏览 0提问于2018-02-26得票数 0
1回答
我在试着签我的小申请表,
在本教程中,他们没有要求我购买证书
我需要删除“未知发布者”安全警告;在我签署msi和exe文件之后,我仍然有“未知发布者”。
我可以在不购买的情况下签名msi或exe吗?
我知道我可以免费签署Java、Authenticode和AIR应用程序:
浏览 2提问于2015-05-19得票数 0
回答已采纳
我有Mysql 8.0.19作为docker实例。在我们之前的应用程序中,我们使用JDK的缺省密钥库作为SSL。有了JDK的密钥库,与Mysql服务器的连接在有SSL和没有SSL的情况下都很好。这里我们没有手动为Mysql配置SSL。我们使用的是Mysql的默认SSL机制。 现在,出于某种原因,我们决定使用我们自己的keystore,并使用下面的变量覆盖了JVM的keystore -Djavax.net.ssl.keyStore=$keystorePath$
-Djavax.net.ssl.keyStorePassword=$sslKeyStorePwd$
-Djavax.net.ssl.t
浏览 63提问于2021-08-10得票数 0
我知道如何在一个命令中创建一个自签名证书:
openssl req -x509 -newkey rsa:4096 \
-keyout my.key -passout pass:123456 -out my.crt \
-days 365 \
-subj /CN=localhost/O=home/C=US/emailAddress=me@mail.internal \
-addext "subjectAltName = DNS:localhost,DNS:web.internal,email:me@mail.internal" \
-addext keyUsage=digital
浏览 0提问于2020-11-08得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
