kalaksi/ca-certificates Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
kalaksi/ca-certificates自动构建
kalaksi
用于在/etc/ssl/certs目录下管理CA证书的容器,可安装Debian的ca-certificates包并运行update-ca-certificates,支持添加自定义证书,生成的证书结构可供其他容器使用,解决容器内LDAPS或HTTPS连接等场景的CA证书验证需求。
1 次收藏下载次数: 0状态:自动构建维护者:kalaksi仓库类型:镜像最近更新:1 个月前
注意事项
由于自动构建已不可用,本README不会自动更新,但会保持最新。这也意味着GitHub仓库不再作为源码显示。镜像现在通过GitLab CI推送,构建过程日志可在GitLab查看。镜像同时在GitLab可用,建议优先使用GitLab镜像,尤其是在可能触及Docker Hub新限制的情况下。
资源
- GitLab仓库(镜像:
registry.gitlab.com/kalaksi-containers/ca-certificates) - Docker Hub仓库(镜像:
docker.io/kalaksi/ca-certificates) - GitHub仓库
镜像概述
本容器基于Debian的ca-certificates包,运行update-ca-certificates命令,同时允许添加自定义证书。通过这种方式,可以在独立容器中配置和生成CA证书结构,生成的证书目录可供其他容器使用。
当容器内需要使用LDAPS或HTTPS连接等场景,需要CA证书进行验证时,本容器尤为必要。无需为每个此类容器单独安装必要的包或证书,可通过本容器统一管理。
核心功能与特性
- 安装Debian的
ca-certificates包并运行update-ca-certificates命令 - 支持两种方式添加自定义证书:
- 通过环境变量(如
CA_CERT_0、CA_CERT_1等) - 通过挂载目录到
/additional_certs
- 通过环境变量(如
- 支持为环境变量指定的证书设置文件名(如
CA_CERT_0_NAME),便于后续识别 - 透明的构建过程,可通过GitLab CI验证容器与代码的一致性
- 提供版本化标签(遵循语义化版本),确保稳定性
要求状态
| 要求 | 状态 | 详情 |
|---|---|---|
| 不以root用户运行容器 | ❌ | update-ca-certificates默认以root运行,未实现非root运行(理想情况下应支持)。容器仅包含OS核心组件。 |
| 透明的构建过程 | ✅ | 可验证容器与代码的一致性,详见GitLab CI。 |
| 官方基础镜像 | ✅ | - |
| 移除额外权限 | ✅ | 详见docker-compose.yml。 |
| 无默认密码 | ✅ | 无静态默认密码,避免容器默认不安全。 |
| 支持密钥文件 | ✅ | 支持通过文件而非环境变量提供密码等敏感信息。 |
| 正确处理信号 | ✅ | - |
| 简洁的Dockerfile | ✅ | 不扩展容器职责,合理情况下所有内容均保留在Dockerfile中。 |
| 版本化标签 | ✅ | 提供版本化标签以确保稳定性。 |
使用场景
适用于任何需要CA证书进行验证的容器场景,例如:
- 容器内使用LDAPS协议连接目录服务
- 容器内通过HTTPS访问内部服务(使用自签名证书)
- 统一管理多个容器的CA证书,避免重复配置
使用方法
基本用法
- 将卷挂载到容器的
/etc/ssl/certs目录,容器运行后会在此目录生成证书及符号链接。 - 其他容器可只读挂载此卷,即可使用生成的CA证书。
添加自定义证书
方式1:通过环境变量
使用环境变量CA_CERT_0、CA_CERT_1等添加自定义证书内容,例如:
CA_CERT_0="-----BEGIN CERTIFICATE-----...-----END CERTIFICATE-----"
可通过CA_CERT_0_NAME、CA_CERT_1_NAME等环境变量为对应证书指定文件名(建议使用.crt扩展名),例如:
CA_CERT_0_NAME="my-custom-ca.crt"
方式2:通过挂载目录
将额外证书文件挂载到容器的/additional_certs目录,容器会自动处理该目录下的所有证书。
部署示例
docker run 示例
bashdocker run -v ./ca-certs:/etc/ssl/certs \ -e CA_CERT_0="$(cat custom-ca.crt)" \ -e CA_CERT_0_NAME="custom-ca.crt" \ registry.gitlab.com/kalaksi-containers/ca-certificates
docker-compose 示例
yamlversion: '3' services: ca-certificates: image: registry.gitlab.com/kalaksi-containers/ca-certificates volumes: - ./ca-certs:/etc/ssl/certs - ./additional-certs:/additional_certs environment: - CA_CERT_0="-----BEGIN CERTIFICATE-----...-----END CERTIFICATE-----" - CA_CERT_0_NAME="app-ca.crt"
其他容器可通过挂载./ca-certs目录(只读)使用证书:
yamlservices: my-app: image: my-app-image volumes: - ./ca-certs:/etc/ssl/certs:ro
开发
TODO
- 实现非root用户运行容器
贡献
详见GitHub仓库:<[***]>。欢迎各类贡献!
许可证
版权所有 (c) 2018 ***。详见LICENSE获取许可信息。
与所有Docker镜像一样,构建的镜像可能包含其他软件,这些软件可能采用其他许可证(如基础发行版的软件,以及主要软件的直接或间接依赖)。
对于任何预构建镜像的使用,镜像用户有责任确保对本镜像的任何使用均符合其中包含的所有软件的相关许可证要求。
paketobuildpacks/ca-certificates
paketobuildpacks
暂无描述
10万+ 次下载
22 天前更新
stagex/ca-certificates
stagex
包含Mozilla提供的常用CA证书PEM文件,作为信任根证书集合,用于验证SSL/TLS证书的Docker镜像。
5万+ 次下载
1 年前更新
linuxkit/ca-certificates
linuxkit
LinuxKit提供的ca-certificates包镜像,包含用于验证SSL/TLS证书的根证书集合,适用于容器环境中的安全通信配置。
3 次收藏100万+ 次下载
1 个月前更新
initializbuildpacks/ca-certificates
initializbuildpacks
CA Certificates是一个云原生构建包,用于在构建和运行时将CA证书添加到系统信任存储中。
5万+ 次下载
11 个月前更新
sikalabs/ca-certificates
sikalabs
暂无描述
1万+ 次下载
8 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"