Eclipse Che 中自签名证书导致 VS Code 扩展安装失败的解决方案

在 Eclipse Che 7.89 版本中，当使用自签名证书配置 Che 集群时，用户可能会遇到无法安装 VS Code 扩展的问题。本文将深入分析该问题的根源，并提供完整的解决方案。

问题现象

用户在使用自签名证书配置 Che 集群后，虽然能够正常浏览扩展列表，但在尝试安装扩展时会收到以下错误：

Error: unable to verify the first certificate

该错误表明工作空间容器无法验证 Che 服务器的 TLS 证书。

根本原因分析

经过排查，发现问题的核心在于：

1. 证书链不完整：工作空间容器中仅包含终端证书，缺少中间证书和根证书
2. 证书传播机制：虽然通过 CheCluster 配置了 TLS 证书，但证书未能正确传播到工作空间容器
3. 证书验证失败：VS Code 扩展管理器严格执行 TLS 验证，无法信任不完整的证书链

完整解决方案

第一步：准备完整的证书链

1. 使用 OpenSSL 检查当前证书链：

openssl s_client -connect your-che-domain.com:443 -showcerts

2. 确保证书文件包含完整的证书链（终端证书、中间证书和根证书）

第二步：创建 ConfigMap

1. 创建包含完整证书链的 ConfigMap：

kubectl create configmap custom-certificate \
  --from-literal registry.crt="$(cat full-chain.pem)" \
  -n eclipse-che

2. 添加必要的标签：

kubectl label configmap custom-certificate \
  app.kubernetes.io/component=ca-bundle \
  app.kubernetes.io/part-of=che.eclipse.org \
  -n eclipse-che

第三步：验证证书传播

1. 创建工作空间并进入终端
2. 检查证书是否已正确挂载：

ls /public-certs/

3. 验证证书有效性：

openssl verify -verbose -CAfile /public-certs/custom-certificate.registry.crt \
  /public-certs/custom-certificate.registry.crt

第四步：测试扩展安装

完成上述步骤后，VS Code 扩展应该能够正常安装，不再出现证书验证错误。

技术原理

Eclipse Che 的工作空间容器需要能够验证 Che 服务器的 TLS 证书。当使用自签名证书时，必须确保：

1. 完整的证书链被传播到工作空间容器
2. 证书被放置在容器可访问的位置（默认是 /public-certs/）
3. 证书具有正确的文件权限和格式

Che 操作员会自动将标记有特定标签的 ConfigMap 同步到工作空间命名空间，并挂载到工作空间容器中。

最佳实践建议

1. 始终使用完整的证书链（包括中间证书和根证书）
2. 定期检查证书有效期并设置自动更新机制
3. 在生产环境中考虑使用受信任的 CA 签发证书
4. 使用工具自动验证证书链完整性

通过遵循这些步骤和最佳实践，可以确保 Eclipse Che 在使用自签名证书时能够正常工作，特别是 VS Code 扩展的安装功能。