gitlab runner - x509:由未知机构签署的证书

基础概念

gitlab-runner 是 GitLab 的一个组件，用于执行 CI/CD（持续集成/持续部署）任务。x509: certificate signed by unknown authority 错误通常表示在尝试建立安全连接时，使用的 SSL/TLS 证书未被信任，因为它是由一个未知或不受信任的证书颁发机构（CA）签署的。

相关优势

使用受信任的证书可以确保数据传输的安全性，防止中间人攻击。证书颁发机构（CA）是负责颁发和管理数字证书的组织，它们通过验证证书持有者的身份来确保证书的可信度。

类型

• 自签名证书：由个人或组织自行签署，不被广泛信任。
• 受信任CA颁发的证书：由知名的证书颁发机构（如Let's Encrypt、DigiCert等）颁发，被大多数系统和浏览器信任。

应用场景

在CI/CD流程中，gitlab-runner 需要与 GitLab 服务器进行安全通信，通常通过 HTTPS 协议。如果证书不被信任，就会导致连接失败。

问题原因

1. 自签名证书：GitLab 使用的是自签名证书，而不是由受信任的CA颁发的证书。
2. CA不在信任列表中：系统缺少必要的CA证书，导致无法验证GitLab服务器的证书。
3. 网络中间人攻击：可能存在安全风险，如中间人攻击，篡改了证书。

解决方法

方法一：添加CA证书到信任库

将GitLab服务器使用的CA证书添加到系统的信任库中。

# 假设ca.crt是GitLab服务器的CA证书文件
sudo cp ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

方法二：配置GitLab Runner忽略证书验证（不推荐用于生产环境）

在gitlab-runner的配置文件中禁用SSL验证。

编辑 /etc/gitlab-runner/config.toml 文件，添加或修改以下配置：

[[runners]]
  ...
  [runners.docker]
    ...
    ssl_verify = false

之后重启 gitlab-runner 服务。

sudo systemctl restart gitlab-runner

方法三：使用受信任的CA颁发的证书

联系GitLab管理员，确保使用由受信任的CA颁发的SSL证书。

示例代码

假设你有一个GitLab Runner的配置文件 config.toml，你可以这样配置：

concurrent = 10

[session_server]
  session_timeout = 1800

[[runners]]
  name = "example-runner"
  url = "https://gitlab.example.com/"
  token = "YOUR_RUNNER_TOKEN"
  executor = "docker"
  [runners.custom_build_dir]
  [runners.docker]
    tls_verify = false  # 注意：仅在测试环境中使用此设置
    image = "docker:stable"
    privileged = false
    disable_cache = false
    volumes = ["/cache"]
    shm_size = 0

请注意，禁用TLS验证 (tls_verify = false) 应该只在测试环境中使用，生产环境中应该始终使用有效的SSL证书并启用TLS验证。

通过以上方法，你应该能够解决 x509: certificate signed by unknown authority 的问题。