Docker-Magento项目中解决MFTF测试的证书验证问题

在使用Docker-Magento环境进行Magento Functional Testing Framework（MFTF）测试时，开发者可能会遇到"ER_CERT_AUTHORITY_INVALID"错误。这个错误通常出现在使用ChromeDriver执行测试时，表明浏览器无法验证服务器的SSL证书。

问题背景

当开发者将Docker环境更新到最新版本，并切换到适用于M2芯片的Seleniarm镜像后，ChromeDriver在访问本地开发环境时可能会拒绝自签名或不受信任的SSL证书。虽然从移动设备或其他浏览器访问同一主机名时证书验证正常，但在容器化的测试环境中会出现验证失败。

技术原理

这个问题的核心在于：

1. Selenium容器中的Chrome浏览器维护着自己独立的证书存储
2. 开发环境中使用的自签名证书默认不被浏览器信任
3. 容器化环境与主机环境的证书信任链是隔离的

解决方案

1. 修改Docker Compose配置

首先需要修改docker-compose.yml文件，确保Selenium容器能够访问主机生成的SSL证书：

selenium:
  image: selenium/standalone-chromium:nightly
  ports:
    - "5900:5900"
    - "4444:4444"
    - "7900:7900"
  shm_size: 2g
  environment:
    - SCREEN_WIDTH=1920
    - SCREEN_HEIGHT=1080
    - SCREEN_DEPTH=24
    - DISPLAY=:99.0
  volumes:
    - ssldata:/etc/nginx/certs

2. 在Selenium容器中安装证书

通过以下命令在Selenium容器中安装证书：

docker exec -u root selenium_container_name /bin/bash -c \
"apt-get update && apt-get install -y libnss3-tools && \
certutil -d sql:/home/seluser/.pki/nssdb -A -t 'CP,CP,' -n MyCert -i /etc/nginx/certs/nginx.crt"

这个命令完成了以下操作：

1. 以root用户身份进入Selenium容器
2. 更新软件包列表并安装libnss3-tools工具（包含certutil）
3. 使用certutil将证书添加到Chrome的NSS证书数据库中

深入理解

为什么需要这样做？

在容器化测试环境中：

1. 每个容器都有自己的安全上下文和信任存储
2. Chrome浏览器使用NSS（Network Security Services）来管理证书
3. 开发环境的自签名证书需要显式添加到信任库中

证书参数说明

-t 'CP,CP,'参数指定了证书的信任属性：

• 第一个C表示信任作为CA证书
• 第二个P表示信任用于SSL客户端
• 逗号分隔的其他位置可以指定其他信任标志

最佳实践建议

1. 对于开发环境，可以考虑使用mkcert工具生成本地信任的证书
2. 在CI/CD管道中，确保测试环境的证书配置与开发环境一致
3. 定期更新容器基础镜像以获取最新的安全补丁

总结

通过将开发环境的SSL证书显式添加到Selenium容器的证书存储中，可以解决MFTF测试中的证书验证问题。这种方法保持了容器化的隔离优势，同时确保了测试环境的可用性。理解容器环境中的证书管理机制，有助于开发者更好地处理类似的安全验证问题。