这个问题通常是由于Docker Registry的证书没有经过信任导致的。以下是解决这个问题的一种方法，包含了使用自签名证书的示例代码：

1. 首先，获取自签名证书的PEM格式文件。可以使用以下命令将证书导出为PEM格式：

   openssl s_client -showcerts -connect : /dev/null | sed -n '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/p' > cert.pem
   

   将 替换为你的Docker Registry URL， 替换为对应的端口号。

2. 在你的代码中，使用以下代码片段来创建一个自定义的tls.Config对象，并将其用于与Docker Registry的连接：

   import (
       "crypto/tls"
       "crypto/x509"
       "net/http"
       "os"
   )
   
   func createHTTPClient() *http.Client {
       // Load the root CA certificate
       caCertFile := "cert.pem" // Replace with the path to your certificate file
       caCert, _ := os.ReadFile(caCertFile)
   
       // Create a new certificate pool and add the CA certificate
       caCertPool := x509.NewCertPool()
       caCertPool.AppendCertsFromPEM(caCert)
   
       // Create a TLS configuration with the certificate pool
       tlsConfig := &tls.Config{
           RootCAs: caCertPool,
       }
   
       // Create a new HTTP client with the TLS configuration
       httpClient := &http.Client{
           Transport: &http.Transport{
               TLSClientConfig: tlsConfig,
           },
       }
   
       return httpClient
   }
   

   请确保将 cert.pem 替换为你实际的证书文件路径。

3. 在你的代码中，使用上述函数创建的自定义HTTP客户端来与Docker Registry进行通信，例如：

   import (
       "github.com/docker/distribution/registry/client/auth"
       "github.com/docker/distribution/registry/client/transport"
   )
   
   func main() {
       registryURL := "https://" // Replace with your Docker Registry URL
   
       httpClient := createHTTPClient()
   
       // Create a new transport with the custom HTTP client
       transport := transport.NewTransport(httpClient, auth.NewTokenHandler(nil), registryURL)
   
       // Use the custom transport in your code for interacting with the Docker Registry
       // For example, when using ArgoCD, you can pass the transport to the ArgoCD API client
       // to perform image updates.
   }
   

   将 替换为你的Docker Registry URL。

通过以上步骤，你可以使用自签名证书与Docker Registry建立信任，解决“证书由未知机构签名”的问题。