認証局の問題を伴う Docker マルチステージ Build Go イメージ
問題:
の場合Docker のマルチステージ ビルドを使用してプライベート企業ネットワークで Go イメージをビルドしようとすると、「x509: 不明な認証局によって署名された証明書」というエラーが発生する場合があります。この問題は、Git が安全な HTTPS サーバーから依存関係を取得しようとしたときに発生します。
原因:
この問題は、システムの CA ストアに必要な証明書がないことが原因で発生し、Git が
解決策:
この問題を解決するには、OpenSSL を使用して、不足している証明書をシステムの CA ストアにインポートする必要があります。これを実現する方法を示す Dockerfile の例を次に示します。
FROM golang:latest as builder
RUN apt-get update && apt-get install -y ca-certificates openssl
ARG cert_location=/usr/local/share/ca-certificates
# Get certificate from "github.com"
RUN openssl s_client -showcerts -connect github.com:443 </dev/null 2>/dev/null | openssl x509 -outform PEM > ${cert_location}/github.crt
# Get certificate from "proxy.golang.org"
RUN openssl s_client -showcerts -connect proxy.golang.org:443 </dev/null 2>/dev/null | openssl x509 -outform PEM > ${cert_location}/proxy.golang.crt
# Update certificates
RUN update-ca-certificates
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN GO111MODULE="on" CGO_ENABLED=0 GOOS=linux go build -o main ${MAIN_PATH}
FROM alpine:latest
LABEL maintainer="Kozmo"
RUN apk add --no-cache bash
WORKDIR /app
COPY --from=builder /app/main .
EXPOSE 8080
CMD ["/main"]
説明:
この Dockerfile には、元の Dockerfile と比較していくつかの追加ステップが含まれています。まず、OpenSSL をインストールし、システムの CA 証明書を更新します。次に、OpenSSL を使用して「github.com」と「proxy.golang.org」から証明書を取得し、CA ストアにインポートします。最後に、証明書を更新し、Git が go mod download コマンド中に依存関係を正常に取得できるようにします。
注:
証明書をインポートするために Dockerfile を編集する代わりに、エージェント環境変数に環境変数 GIT_SSL_NO_VERIFY=1 を設定することもできます。ただし、このアプローチは SSL 検証を無効にするため、運用環境での使用はお勧めできません。
以上がDocker Multi-Stage Build Go イメージの「x509: 不明な認証局によって署名された証明書」エラーを解決するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。