更换为目前可用的国内镜像加速器（推荐）

你的系统时间2026年是完全正确的。这就彻底排除了“服务器时间不准”这个最常见的原因。结合你之前curl测试返回的关键信息subject: CN*.s3-turbo.amazonaws.comexpire date: Mar 09 23:59:59 2024 GMTNSS error -8181 (SEC_ERROR_EXPIRED_CERTIFICATE)现在我们可以得出一个非常明确的结论你的服务器在访问 Docker Hub 时遭遇了严重的网络劫持或 DNS 污染。正常情况下Docker Hub 的证书绝不会是亚马逊 AWS 的对象存储证书更不可能是一个早在两年前就过期的证书。这说明运营商、机房防火墙或者某种代理机制拦截了你对 Docker Hub 的请求并把你重定向到了一个伪造的、已过期的节点上。既然直连官方源已经被彻底阻断继续死磕官方源已经没有意义。我们需要采取以下策略来破局 解决方案一更换为目前可用的国内镜像加速器推荐由于很多老牌公共镜像站如中科大、网易近期已停止服务或限制访问你需要更换为目前仍在提供服务的镜像源。请执行以下命令更新配置sudo tee /etc/docker/daemon.json -EOF { registry-mirrors: [ https://docker.xuanyuan.me, https://hub.rat.dev, https://do.nark.eu.org ], dns: [223.5.5.5, 119.29.29.29] } EOF # 重载配置并重启 Docker sudo systemctl daemon-reload sudo systemctl restart docker # 再次尝试拉取 docker pull hello-world(注如果上述镜像源失效建议前往阿里云控制台获取你专属的“容器镜像服务 ACR”内网加速地址那是目前国内最稳定的方案) 解决方案二离线导入镜像最快解决当前需求如果你只是急需运行hello-world或者某个特定镜像且不想折腾网络配置可以直接在本地电脑操作后传到服务器在你的本地电脑上确保能正常上网docker pull hello-world docker save hello-world -o hello-world.tar将hello-world.tar文件上传到你的阿里云服务器使用 scp、FTP 或 SFTP 工具。在服务器上加载镜像docker load -i hello-world.tar docker run hello-world⚠️ 为什么不推荐修改 daemon.json 跳过验证你可能会在网上看到建议在/etc/docker/daemon.json中添加insecure-registries: [registry-1.docker.io]来跳过证书验证。强烈不建议在生产环境这样做。这不仅无法解决被劫持的问题还会让中间人攻击变得轻而易举导致你拉取的镜像可能被植入恶意代码。下一步建议请先尝试解决方案一更换最新的镜像源。如果依然超时说明该服务器的出口 IP 被各大镜像站也拉黑了请直接使用解决方案二离线导入。