我有一个具有根 CA 和从属 CA 的环境。我的环境是混合的。我有 Windows 和 Linux(Ubuntu 18)服务器。
在 Windows 机器上,将根 CA 添加到受信任的根证书存储区就足够了,并且从那里开始,由-从属-CA 颁发的所有证书都受到计算机的信任。
在 Ubuntu 机器上,我也将根 CA 安装到了受信任的根 CA 的存储中,但我发现当使用docker pull从属 CA 颁发的证书从私有注册表运行时,我得到了错误:Error response from daemon: Get https://<server>:5000/v2/: x509: certificate signed by unknown authority
只有在花了几个小时后,我意识到我需要安装从属 CA 以及根 CA。
这是为什么?如果从属根 CA 受信任,则不应信任从属签名证书吗?
问题是由于服务器证书链中缺少从属证书。添加后一切正常。
感谢用户 Gerrit 的帮助 :)