Rancher添加主机报错:tls: failed to verify client's certificate: x509: certificate has expired or is not ye...

最新推荐文章于 2025-04-18 14:16:13 发布
最新推荐文章于 2025-04-18 14:16:13 发布
阅读量7.5k 收藏 5
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xtjatswc/article/details/108558156
本文详细解析了在Rancher中添加主机时遇到的Failed to bring up Etcd Plane错误,揭示了时间不同步对证书校验的影响,并提供了两台服务器间时间同步的解决方案,以及清除容器和镜像历史数据的命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Rancher添加主机报错

[etcd] Failed to bring up Etcd Plane: etcd cluster is unhealthy: hosts [192.168.100.179] failed to report healthy. Check etcd container logs on each host for more information

 

 

卡住没动静了,后来百度得知两台服务器之间时间没有同步的原因,但是时间不同步会有啥影响呢,往下看

 

在node机器上看到etcd的容器,查看日志发现报错信息了

 

 

 

报错信息如下:

2020-09-08 17:11:10.741954 I | embed: rejected connection from "192.168.100.179:47288" (error "tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid", ServerName "")

 

生成证书后,立即使用,报以上错误,原因是生成证书的机器时间要比服务器时间快,导致服务器验证时,证书超出了时间使用范围。

解决办法:

1、服务器和生成证书机器进行时间同步更新

2、或者直接调整生成证书的机器时间,小于服务器的时间

 

总结一下两台服务器的时间不一致,会导致证书校验出问题,从而导致报错:Failed to bring up Etcd Plane

 

还不行就执行下面命令,清空所有容器、镜像、存储的历史数据等

docker stop $(docker ps -aq)
docker system prune -f
docker volume rm $(docker volume ls -q)
docker image rm $(docker image ls -q)
rm -rf /etc/ceph \
       /etc/cni \
       /etc/kubernetes \
       /opt/cni \
       /opt/rke \
       /run/secrets/kubernetes.io \
       /run/calico \
       /run/flannel \
       /var/lib/calico \
       /var/lib/etcd \
       /var/lib/cni \
       /var/lib/kubelet \
       /var/lib/rancher/rke/log \
       /var/log/containers \
       /var/log/pods \
       /var/run/calico

 

xtjatswc
关注
Rancher入门到精通-2.0 client‘s certificate: x509: certificate signed by unknown authorit 重新安装就好了
隔壁老瓦的专栏
03-04 7968
error "tls: failed to verify client's certificate: x509: certificate signed by unknown authority (possibly because of \"crypto/rsa: verification error\" while trying to verify candidate authority cert...
《手把手教你修复过期K8s集群证书:记一次K8s集群起死回生实录》
最新发布
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
05-27 3159
今天本想打开半年前部署的K8s测试集群跑个Demo,结果`kubectl`直接报错`certificate has expired`!作为一名云原生老司机,我决定把这次'抢救'过程记录下来,手把手带大家解决这个运维常见问题。
golang中请求接口出错 tls: failed to verify certificate: x509: certificate signed by unknown authority
秋̶᭄ꦿ攻城狮࿆ྂ
01-14 2175
如果你遇到 tls: failed to verify certificate: x509: certificate signed by unknown authority 的错误,通常是因为 Go 的 HTTP 客户端无法验证服务器的 SSL/TLS 证书。这可能是因为证书是自签名的,或者是由一个不被信任的证书颁发机构(CA)签发的 .在开发和测试阶段,忽略证书验证可能是方便的,但在生产环境中,确保使用受信任的证书是非常重要的,以保护数据的安全性。
tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid
min19900718的博客
08-06 1万+
生成证书后,立即使用,报以上错误,原因是生成证书的机器时间要比服务器时间快,导致服务器验证时,证书超出了时间使用范围。 解决办法: 1、服务器和生成证书机器进行时间同步更新 2、或者直接调整生成证书的机器时间,小于服务器的时间 ...
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 7252
29号晚上同事发现部署的API接口服务崩了。同时k8s服务也崩了(我们自己写的API服务调用k8s)。当时就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
使用kubeconfig报错x509证书认证错误-->failed to verify certificate: x509
m0_63577947的博客
06-19 2883
连接时出现问题报错,查看logs显示报错信息使用以下命令解析 apiserver 证书得到允许访问服务端的地址信息。
其他机器上访问harbor机器,报错tls: failed to verify certificate: x509: cannot validate certificate for
qq_42863978的博客
05-06 4491
docker-harbor
Rancher UI无法访问 x509: certificate has expired or is not yet valid
shiyq的技术小白博客
02-28 1023
Rancher 由于证书导致的可视化UI管理页面无法使用
docker部署rancher证书过期问题解决方案
04-24
- `x509: certificate has expired or is not yet valid` - `http: TLS handshake error from ...: remote error: tls: bad certificate` - `serverhttps://127.0.0.1:6443/cacerts is not trusted: Get ...
go发邮件问题: {“error:tls: failed to verify certificate: x509: cannalidate certificate for 10.10.*.*
Cherry
12-13 328
【代码】go发邮件问题: {“error:tls: failed to verify certificate: x509: cannalidate certificate for 10.10.*.*
mino 安装证书后,上传文件时 failed to verify certificate: x509,安装linux根证书
qq_43406318的博客
05-16 948
问题背景:mino 服务器安装了证书后,我本地系统调用minio 服务器上传图片正常,但是服务器上的系统(go 服务)上传图片时不能通过ssl 证书认证。minio 服务于系统服务在一个主机上。多方查找发现是 系统没有安装根证书,就是将minio 服务的证书 安装到 宿主机的 根证书目录。centos7安装根证书。
tls: failed to verify certificate: x509: cannot validate certificate for x.x.x.x because it doesn‘t
weixin_45691464的博客
11-14 2191
jenkins上没有基础镜像,需下载,再次构建镜像就没问题了。
【Bug】Nvm安装Node18出现tls: failed to verify certificate: x509: certificate has expired or ...
lcukyNwa的博客
02-01 1139
nvm目录下找到 setting.txt里,将以前配置的。
解决k8s证书过期问题:Unable to connect to the server: tls: failed to verify certificate: x509: certificate ha
u013282737的博客
02-24 918
某年某月某天,执行k8s部署文件,发现证书过期: 解决过程如下: 若你使用的是 kubeadm 搭建的 Kubernetes 集群,可按照以下步骤重新生成证书: 这里如果启动不了kube-apiserver,就使用这个办法启动: 重启kube-apiserver(推荐方法) 停止所有控制平面组件(包括):重新启动所有控制平面组件:在某些情况下,如果你确信只需要重启,你可以尝试直接重启该服务:证书更新后,可能需要更新本地的 kubeconfig 文件,以使用新的证书。可以
解决docker登入/获取harbor提示证书过期问题tls: failed to verify certificate: x509: certificate has expired or is no
Rysxt_的博客
04-18 593
首先,我需要确认这个错误的原因。根据错误信息,Docker客户端在尝试连接到Harbor仓库时,发现其SSL证书已经过期。SSL证书过期会导致TLS握手失败,从而阻止Docker客户端与仓库进行安全通信。三:调整系统时间:如果用户的系统时间不正确,导致误认为证书过期,可以检查并纠正系统时间。但根据错误信息中的时间。如果仍然失败,可能是域名解析问题,追加ip和对应域名。接下来,我应该考虑可能的解决方案。一:更新Harbor仓库的SSL证书。本文给出第二种方法的详细解决步骤。保存,重启docker。
x509问题
m0_64558520的博客
06-26 2991
公司的开发机证书不全,在进行https请求时,会出现ssl校验失败的情况,对应的报错x509: certificate signed by unknown authority。
Docker报错x509: certificate has expired or is not yet valid
热门推荐
.
08-04 2万+
一、问题描述 Docker pull镜像的时候 出现错误 x509: certificate has expired or is not yet valid 二、解决问题 x509: certificate has expired or is not yet valid X509:证书已过期或尚未有效 两种情况: 证书已经过期了 证书是没有问题的,但是系统时间不对 1、检查系统时间 [root@localhost ~]# date 系统时间不对 修改系统时间 更新时间同步即可:ntp
Docker中查看容器的详情
Zyl_xw_Cjy的博客
12-20 1224
Docker命令 查看容器的详情 先查看容器的 id docker ps -a 在执行下面的语句 就能够查看容器内部的详细信息 docker inspect 容器的id或者容器名
go mod tidy 报错x509: certificate signed by unknown authority 最佳实践
kingch_ban的专栏
09-24 6071
出现这中情况一般都是自己安装全新的ubuntu系统,或者在docker中安装ubuntu镜像,跟我一样。之后就可以愉快的使用go mod tidy了。在网上找了很多资料,都没有解决。注意前缀不是https。
Get "https://reg.timinglee.org/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority
03-17
### TLS证书验证失败的原因分析 该问题的核心在于TLS连接过程中无法验证服务器端提供的SSL/TLS证书的有效性。具体表现为`x509: certificate signed by unknown authority`错误消息,这通常意味着客户端未能找到用于签名目标证书的信任根证书。 #### 可能原因 1. **缺少信任的CA证书** 客户端环境中未包含签发目标证书的CA(Certificate Authority)的公钥证书[^1]。 2. **环境差异导致的证书缺失** 在不同运行环境下(如ARM板子或Docker容器),可能由于基础镜像或操作系统配置的不同,导致默认的信任链不一致[^2]。 3. **自定义CA证书未导入** 如果使用的是一份由私有CA签发的证书,则需要手动将此CA证书添加到客户端的信任库中[^3]。 4. **Harbor或其他私有仓库的情况** 对于Harbor等私有仓库场景下拉取镜像时报此类错误,通常是因Harbor使用的是内部签发而非公共可信机构颁发的证书所致[^4]。 --- ### 解决方案 以下是几种常见的解决方案: #### 方法一:更新系统的CA证书存储 确保目标平台上的受信CA列表是最新的。可以通过安装最新的操作系统的CA包来实现这一点。例如,在基于Debian/Ubuntu的Linux发行版上执行如下命令: ```bash apt-get update && apt-get install -y ca-certificates ``` 对于Alpine Linux为基础的Docker镜像,可采用以下方式同步最新CA证书: ```bash apk add --no-cache ca-certificates ``` 如果是在特定硬件设备(比如ARM架构开发板)上遇到问题,确认其固件或者软件栈已预置标准CA集合;必要时手工复制通用CA文件至对应位置并刷新缓存。 #### 方法二:加入自定义CA到应用层 当涉及非公开认证中心所发放的安全凭证时,需把相应CA追加进应用程序能够识别的位置。以Go语言为例,可通过设置环境变量指定额外路径加载这些资料: ```go import ( "crypto/tls" "crypto/x509" "io/ioutil" ) func loadCertPool() (*x509.CertPool, error) { certPool := x509.NewCertPool() pemData, err := ioutil.ReadFile("/path/to/custom-ca.crt") // 替换为实际CA文件地址 if err != nil { return nil, err } ok := certPool.AppendCertsFromPEM(pemData) if !ok { return nil, errors.New("failed to append custom CA certificates") } return certPool, nil } // 创建TLS配置实例,并关联上述池对象 config := &tls.Config{ RootCAs: loadCertPool(), } ``` 通过这种方式动态扩展程序内的信任链条。 #### 方法三:跳过证书校验 (仅限测试用途!) 虽然强烈反对在生产环境中关闭安全性检查机制,但在某些特殊调试阶段确实有必要暂时忽略这类警告信息。仍以前述Golang案例说明如何绕开验证流程: ```go transport := &http.Transport{ TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, } client := &http.Client{Transport: transport} response, _ := client.Get("https://your-server-address/") defer response.Body.Close() bodyText, _ := ioutil.ReadAll(response.Body) fmt.Println(string(bodyText)) ``` 注意这种方法存在极大安全隐患,请谨慎对待! #### 方法四:针对Kubernetes/K3S中的Harbor集成调整 如果是面对类似k3s访问harbor私服遭遇相同状况的情形,考虑修改节点配置文件(/etc/rancher/k3s/config.yaml),增加参数指示接受未经证实的身份证明材料: ```yaml registries: mirrors: harbor.net.com: endpoint: - "https://harbor.net.com" config: authn: insecure_skip_tls_verify: true ``` 重启服务使更改生效即可消除困扰。 --- ### 总结 以上提供了四种应对策略分别适用于不同的业务需求和技术背景。推荐优先尝试方法一和方法二保持原有安全框架的同时解决问题;而最后两种则作为权宜之计供参考选用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值