Debian 13環境でDocker Engineを構築した直後、docker loginやイメージのプルで「x509: certificate signed by unknown authority」というエラーに直面することがある。これはOS側のルート証明書パッケージが不足していることが原因だ。放置すればデプロイフローが完全に停止するため、迅速な対処が不可欠である。
目次
エラーの根本原因:Debian最小構成とCAストアの不一致
- Dockerデーモンは、GHCR.ioやDocker Hubといった外部レジストリとの通信時にホストOSの証明書ストアを参照する。
- Debian 13の最小構成(Minimal Install)では、標準の証明書パッケージが同梱されない仕様だ。
- 筆者の経験上、パブリッククラウドの軽量イメージをベースにした際にこのエラーに遭遇する確率が非常に高い。
解決策:ca-certificatesの導入とストアの更新
安易にinsecure-registriesを設定して検証をスキップすべきではない。中間者攻撃(MITM)のリスクを排除し、以下の手順で証明書環境を整えるのが最適解だ。
# 1. パッケージリストの更新とCA証明書のインストール
sudo apt-get update && sudo apt-get install -y ca-certificates
# 2. システムの証明書ストアを更新
sudo update-ca-certificates
# 3. Dockerデーモンを再起動(キャッシュクリアのため必須)
sudo systemctl restart docker
運用現場でのハマりどころ:社内プロキシと独自CA
実際の運用現場では、SSL/TLSを解読する社内プロキシを経由して外部へ接続する場合がある。この場合、OS標準の証明書だけでは不十分だ。以下の手順で独自CAを反映させる必要がある。
- 独自のルートCA証明書(.crt形式)を
/usr/local/share/ca-certificates/配下へ配置する。 update-ca-certificatesを実行してハッシュを再生成する。- Dockerデーモンは起動時に証明書をロードするため、反映には必ず
systemctl restart dockerを実行すべきだ。
結論:プロビジョニングの標準化を
Dockerの動作はホストOSのネットワークスタックと証明書ストアに強く依存している。AnsibleやTerraformを用いたプロビジョニングの初期工程に ca-certificates の導入を組み込むことが、無用な作業中断を未然に防ぐ唯一の正解だ。
