Eu uso um servidor FreeIPA em uma máquina CentOS. Também funciona como uma Autoridade de Certificação.

Alguns serviços HTTP estão sendo executados com certificados emitidos pela FreeIPA e tudo funciona bem.

Eu tenho outro servidor CentOS, conectado ao meu domínio, que tem a configuração do certificado raiz FreeIPA corretamente. Quando Eu curl https://freeipa.example.com diretamente desse servidor, não encontro nenhum problema.

Mas este servidor também executa contêineres Docker, que parecem ter problemas para se conectar aos servidores httpd em execução com meus certificados FreeIPA.

Quando Eu corro curl https://freeipa.example.com Eu tenho o seguinte problema: curl: (60) SSL certificate problem: unable to get local issuer certificate.

Parece que o Docker não se importa com o certificado raiz que está configurado no servidor CentOS para se conectar ao FreeIPA.

Como posso resolver esse problema ?

Você precisaria passar a CA para o contêiner e adicioná-la à lista de confiança do contêiner. Isso pode ser feito em tempo de execução (com a ação do contêiner, como um script bash ou powershell, ou executando o contêiner de forma interativa) ou criando uma imagem atualizada (com docker build em um dockerfile ou docker commit em um contêiner em execução que foi modificado para sua necessidade).

Se estou entendendo corretamente, o host do docker confia no certificado, mas o contêiner não? Nesse caso, você precisaria passar a CA para o contêiner e adicioná-la à lista de confiança do contêiner. Isso pode ser feito em tempo de execução ou criando uma imagem atualizada.

tens razão. Descobri isso depois, mas vou deixar você responder:).