本文详解 openshift 0.3.3 样例应用中因工作目录切换不当导致的自签名证书校验失败问题，指出 x509: certificate signed by unknown authority 错误本质是客户端无法定位到生成的本地 ca 证书，核心解法在于严格遵循子目录上下文执行命令。

在 OpenShift Origin v0.3.3 的 sample-app 快速入门流程中，证书相关错误（如 Get https://localhost:8443/...: x509: certificate signed by unknown authority）并非 TLS 配置缺陷或证书损坏，而是典型的路径上下文错位问题。该版本采用分阶段证书生成机制：OpenShift 启动时会在当前工作目录下自动生成一套临时 PKI（含 ca.crt、server.crt、server.key 等），而客户端工具（如 openshift ex policy 和 openshift ex registry）默认从当前目录或 $KUBECONFIG 指向的配置中读取证书信任链。

关键陷阱在于官方文档中隐含的目录依赖关系：

• ✅ 步骤 1（启动 OpenShift 并生成证书）：必须在 origin/examples/sample-app/ 目录下执行（例如 ./openshift start --write-config=openshift.local.config），此时证书将生成于该目录下的 openshift.local.config/master/ 子路径中；
• ❌ 步骤 4（执行策略与 registry 命令）：若此时已切换至 origin/ 根目录（常见于 make build 后），则 openshift ex 工具将无法自动发现上一步生成的 ca.crt，导致所有 HTTPS 请求因证书不被信任而失败。

正确操作流程如下：

# 1. 进入 sample-app 示例目录（务必在此目录执行启动）
cd origin/examples/sample-app/

# 2. 启动 OpenShift 并生成本地配置（证书由此产生）
./openshift start --write-config=openshift.local.config &

# 3. 确保服务就绪后，在同一目录下执行策略命令
openshift ex policy add-user view anypassword:test-admin

# 4. 创建 registry（仍在同一目录！）
openshift ex registry --create --credentials="$(pwd)/openshift.local.config/master/admin.kubeconfig"

⚠️ 注意事项：不要修改源码（如注释 Fatal()）或手动编辑证书路径——这会破坏安全模型且不可维护；$KUBECONFIG 环境变量需显式指向 openshift.local.config/master/admin.kubeconfig（推荐使用绝对路径或 $(pwd)/...）；若已发生目录错位，可直接复制证书：cp openshift.

local.config/master/ca.crt ~/.kube/ca.crt 并在 kubeconfig 中更新 certificate-authority 字段，但推荐重走标准流程以避免状态不一致。

本质上，这是早期 OpenShift 版本对“工作目录即配置根目录”这一约定的强依赖。后续版本（v1.0+）已通过 --master、--certificate-authority 等显式参数解耦路径耦合，但在 v0.3.3 中，坚守目录上下文就是最简洁、最安全的解决方案。

# word  # app  # 工具  # 环境变量  # 解决方法  # red  # openshift  # https  # 目录下  # 客户端  # 这是  # 这一  # 在此  # 但在  # 推荐使用  # 会在  # 并在  # 在同一 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在服务器上配置二级域名建站？  Laravel怎么在Blade中安全地输出原始HTML内容  详解Android中Activity的四大启动模式实验简述  Laravel中间件起什么作用_Laravel Middleware请求生命周期与自定义详解  Laravel观察者模式如何使用_Laravel Model Observer配置  VIVO手机上del键无效OnKeyListener不响应的原因及解决方法  如何用花生壳三步快速搭建专属网站？  如何快速查询网址的建站时间与历史轨迹？  Laravel如何使用Contracts（契约）进行编程_Laravel契约接口与依赖反转  Edge浏览器如何截图和滚动截图_微软Edge网页捕获功能使用教程【技巧】  国美网站制作流程,国美电器蒸汽鍋怎么用官方网站？  JavaScript常见的五种数组去重的方式  Laravel如何处理和验证JSON类型的数据库字段  Laravel如何保护应用免受CSRF攻击？（原理和示例）  如何在云指建站中生成FTP站点？  微信小程序 canvas开发实例及注意事项  bootstrap日历插件datetimepicker使用方法  如何在万网开始建站？分步指南解析  uc浏览器二维码扫描入口_uc浏览器扫码功能使用地址  惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  Laravel用户认证怎么做_Laravel Breeze脚手架快速实现登录注册功能  如何使用 Go 正则表达式精准提取括号内首个纯字母标识符（忽略数字与嵌套）  详解jQuery中的事件  jQuery validate插件功能与用法详解  HTML5空格在Angular项目里怎么处理_Angular中空格的渲染问题【详解】  实例解析Array和String方法  Laravel如何升级到最新版本？（升级指南和步骤）  零基础网站服务器架设实战：轻量应用与域名解析配置指南  手机软键盘弹出时影响布局的解决方法  如何快速搭建高效WAP手机网站？  如何快速完成中国万网建站详细流程？  如何使用 jQuery 正确渲染 Instagram 风格的标签列表  如何快速搭建FTP站点实现文件共享？  JavaScript中的标签模板是什么_它如何扩展字符串功能  linux top下的 minerd 木马清除方法  韩国服务器如何优化跨境访问实现高效连接？  网站视频制作书签怎么做,ie浏览器怎么将网站固定在书签工具栏？  Laravel怎么使用Markdown渲染文档_Laravel将Markdown内容转HTML页面展示【实战】  如何在万网利用已有域名快速建站？  米侠浏览器网页图片不显示怎么办 米侠图片加载修复  PHP 实现电台节目表的智能时间匹配与今日/明日轮播逻辑  深圳防火门网站制作公司,深圳中天明防火门怎么编码？  中国移动官方网站首页入口 中国移动官网网页登录  Python函数文档自动校验_规范解析【教程】  Laravel Debugbar怎么安装_Laravel调试工具栏配置指南  如何在局域网内绑定自建网站域名？  Win10如何卸载预装Edge扩展_Win10卸载Edge扩展教程【方法】  免费视频制作网站,更新又快又好的免费电影网站？  免费制作统计图的网站有哪些,如何看待现如今年轻人买房难的情况？  油猴 教程,油猴搜脚本为什么会网页无法显示？