嗨，我来帮你拆解这个问题，结合你提到的企业VPN、TLS解密和CA证书的背景，以下是几个可以排查的方向，也能帮你给网络团队反馈时更清晰地描述问题：

• 确认Docker是否信任企业CA证书
  公司VPN解密TLS流量后，所有HTTPS请求的证书都会用企业CA签名，但Docker默认可能没有加载到这个CA证书。你可以尝试把企业CA证书放到Docker的专属信任目录：

  • Linux/macOS：创建/etc/docker/certs.d/registry-1.docker.io/目录（如果不存在），将企业CA证书文件（比如company-ca.crt）放入该目录，然后重启Docker服务
  • Windows：创建C:\ProgramData\Docker\certs.d\registry-1.docker.io\目录，放入证书后重启Docker
    也可以检查Docker的daemon.json配置文件，确认有没有冲突的insecure-registries配置，避免影响TLS信任验证

• 排查TLS握手阶段的问题
  EOF错误大多出现在TLS握手中断时，你可以用curl手动测试和Docker镜像仓库的连接，看看系统层面的TLS信任是否正常：

  curl -v https://registry-1.docker.io/v2/library/ubuntu/manifests/latest
  

  查看输出里的TLS握手日志：如果curl能正常返回内容，说明系统信任企业CA，但Docker没有；如果curl也报错EOF或证书不信任，那就是系统层面的CA证书未正确加载，或者VPN的解密规则有问题

• 检查VPN的流量拦截规则
  有些企业VPN会对特定域名、端口或连接时长做限制：

  • 确认VPN是否允许访问registry-1.docker.io和auth.docker.io这两个域名的443端口
  • 排查VPN是否对长连接做了超时限制，Docker拉取镜像的HTTPS连接可能被提前断开导致EOF

• 临时测试代理配置（如果公司有内部代理）
  如果公司提供了内部HTTPS代理，你可以在Docker中配置代理试试：
  编辑Docker的daemon.json文件（Linux/macOS在/etc/docker/，Windows在C:\ProgramData\Docker\config\），添加以下内容：

  {
    "proxies": {
      "default": {
        "httpsProxy": "http://your-company-proxy:port",
        "httpProxy": "http://your-company-proxy:port",
        "noProxy": "localhost,127.0.0.1,你的公司内部域名"
      }
    }
  }
  

  保存后重启Docker，尝试拉取镜像

给网络团队反馈时，建议提供这些信息：

• 完整的docker pull ubuntu错误输出
• 刚才curl命令的测试结果
• 你的操作系统版本和Docker版本
• 你已经尝试过的CA证书配置操作

备注：内容来源于stack exchange，提问作者greatvovan