Apache Arrow-RS项目中关于自签名证书与Fabric OneLake兼容性问题的技术解析

背景概述

在数据工程领域，Apache Arrow-RS作为Rust实现的Arrow内存格式工具集，其子模块object_store被广泛应用于云存储交互场景。近期有开发者反馈，在使用Delta-RS或Polars（底层均依赖object_store）访问Microsoft Fabric OneLake服务时，出现了证书验证失败的问题。本文将从技术角度剖析该问题的成因及解决方案。

问题现象

当通过Delta-RS 0.25版本访问OneLake时，系统抛出证书验证错误：

hyper_util::client::legacy::Error(Connect, Custom { 
  kind: Other, 
  error: Custom { 
    kind: InvalidData, 
    error: InvalidCertificate(Other(OtherError(CaUsedAsEndEntity))) 
  } 
})

而早期版本（如0.24）却能正常工作，这种版本差异引发了技术人员的关注。

根因分析

证书规范冲突

OneLake使用的证书存在特殊构造：

1. 证书链中包含CA证书被用作终端实体证书的情况（CA:TRUE标记）
2. 虽然浏览器和OpenSSL能宽容处理，但rustls严格遵循RFC5280规范，拒绝此类非标准证书

技术栈演变

关键变化点在于：

• Delta-RS从0.25版本开始，Python wheel包默认使用rustls替代OpenSSL
• rustls作为现代TLS实现，对证书链的验证更为严格
• OpenSSL的历史实现中存在对非标准证书的兼容性处理

解决方案

临时应对措施

1. 证书手动信任：将OneLake证书单独导出并设置为SSL_CERT_FILE环境变量

export SSL_CERT_FILE=/path/to/custom/cert.crt

2. 编译选项调整：构建时启用rustls-tls-native-roots特性，尝试使用系统根证书

根本解决建议

微软方面需要调整OneLake证书策略，确保：

• 终端实体证书设置CA:FALSE
• 完整的合规证书链构建
• 符合X.509标准的证书扩展字段配置

架构启示

该案例反映了现代基础设施中的几个重要趋势：

1. 安全演进：新式TLS库（如rustls）正在推动更严格的合规性检查
2. 兼容性挑战：企业级服务需要平衡历史兼容与标准符合
3. 技术决策影响：底层依赖库的选择会显著影响上层应用的兼容性表现

最佳实践建议

对于面临类似问题的开发者：

1. 生产环境应优先推动服务端证书合规化
2. 过渡期可建立内部CA体系签发合规证书
3. 关键系统需明确记录TLS库的证书验证策略差异

此问题的出现本质上反映了云计算时代基础设施快速演进过程中，标准符合性与历史实现之间的张力，需要开发者、库作者和服务提供商共同协作解决。