NixOS-WSL环境下企业网络SSL证书问题的解决方案

在企业网络环境中使用NixOS-WSL时，由于企业防火墙通常会进行TLS中间人拦截(MITM)，导致系统无法正常下载软件包或更新系统。本文将详细介绍如何解决这类SSL证书信任问题。

问题现象

当在企业网络环境下运行nixos-rebuild switch命令时，会出现类似以下错误：

warning: error: unable to download 'https://cache.nixos.org/nix-cache-info': SSL peer certificate or SSH remote key was not OK (60)

这是因为企业网络的安全设备拦截了HTTPS连接并使用了自签名证书，而NixOS系统默认不信任这些证书。

解决方案

1. 获取企业根证书

首先需要从企业网络环境中获取根证书(Root CA Certificate)。可以通过以下方式获取：

• 从企业IT部门获取正式的CA证书文件
• 通过浏览器导出证书（通常可以从浏览器查看HTTPS连接的证书链，导出最顶层的根证书）

2. 证书安装方式

NixOS处理SSL证书的方式与常规Linux发行版不同，不能简单地将证书放入/etc/ssl/certs目录。有以下两种推荐方法：

方法一：通过NixOS配置直接嵌入证书

security.pki.certificates = [
    (builtins.readFile /path/to/your/root_cert.crt)
];

方法二：指定证书文件路径

security.pki.certificateFiles = [
    "/path/to/your/root_cert.crt"
];

3. 构建自定义WSL镜像

由于系统重建过程本身需要下载组件，而这时证书尚未被信任，因此需要预先构建包含企业证书的NixOS-WSL镜像：

1. 准备一个包含上述证书配置的NixOS配置文件
2. 使用NixOS-WSL的构建系统创建自定义镜像
3. 使用新镜像重新安装WSL环境

4. 文件权限设置

确保证书文件具有正确的访问权限：

chmod 0644 /path/to/your/root_cert.crt

技术背景

企业网络通常使用中间人技术(MITM)来监控HTTPS流量，这种做法虽然能增强安全监控，但也带来了以下问题：

• 破坏了端到端加密原则
• 增加了系统配置复杂性
• 可能引入额外的安全风险

建议与企业IT部门沟通，探讨是否有更安全的网络访问方案，如直接放行特定的软件源域名而非全局拦截。

注意事项

1. 确保获取的是真正的企业根证书，而非中间证书
2. 证书配置后需要完全重建系统才能生效
3. 考虑将证书配置纳入版本控制系统，方便后续维护
4. 在多台企业计算机上部署时，可考虑创建统一的基础镜像

通过以上方法，可以解决NixOS-WSL在企业网络环境下的SSL证书信任问题，使系统能够正常更新和安装软件包。