Pigsty项目安装ETCD集群SSL证书验证失败问题分析

问题现象

在Rocky Linux 8.5环境中部署Pigsty最新版本时，系统报错显示ETCD集群无法正常启动。具体表现为Patroni服务无法通过SSL验证连接到ETCD服务端，错误信息中反复出现"certificate verify failed"的SSL握手失败提示。同时ETCD服务状态显示为Dead状态，进程虽然存在但服务不可用。

根本原因分析

经过对错误日志的深入分析，可以确定问题的核心在于SSL/TLS证书验证环节出现了问题。具体表现为：

1. 证书信任链断裂：客户端无法验证服务端提供的证书合法性，这通常发生在证书由不同CA签发或CA证书不一致时。

2. 环境一致性破坏：从技术细节判断，该问题最可能的原因是使用了不同Pigsty目录下的证书文件进行安装，导致集群内各节点使用的CA根证书不一致。

3. ETCD服务异常：由于证书验证失败，ETCD服务虽然进程存在，但无法建立安全通信通道，最终导致服务状态异常。

解决方案

针对这类证书验证问题，我们提供两种经过验证的解决方案：

方案一：完整重新安装

1. 彻底清理现有环境：

   • 停止所有相关服务（Patroni, ETCD等）
   • 删除Pigsty工作目录及数据目录
   • 检查并清理残留进程

2. 从统一目录重新安装：

   • 确保所有节点使用相同的Pigsty源码目录
   • 使用相同的配置参数初始化环境
   • 让系统自动生成并分发一致的CA证书

方案二：证书统一修复

1. 定位证书文件：

   • 检查/etc/pigsty/ssl目录下的CA证书
   • 确认各节点证书是否一致

2. 同步证书文件：

   • 选择任一节点的CA证书作为基准
   • 将该CA证书同步到集群所有节点
   • 确保证书权限正确（通常为600）

3. 重启服务验证：

   • 重启ETCD集群
   • 观察Patroni连接状态
   • 检查服务健康状态

最佳实践建议

1. 环境隔离原则：为每个Pigsty部署创建独立的工作目录，避免交叉使用。

2. 证书管理规范：

   • 记录CA证书标识信息
   • 部署前验证证书一致性
   • 考虑使用证书管理工具

3. 部署检查清单：

   • 确认网络连通性
   • 验证时间同步状态
   • 检查防火墙规则
   • 预验证证书有效性

4. 故障排查技巧：

   • 使用openssl命令手动验证证书链
   • 检查ETCD日志详细错误
   • 临时关闭验证测试连通性（仅用于诊断）

技术深度解析

SSL/TLS证书验证是分布式系统安全通信的基础。在Pigsty架构中：

1. 证书层级结构：

   • 自签名根CA证书
   • 中间CA证书（可选）
   • 服务端/客户端证书

2. 验证流程：

   • 客户端验证服务端证书签名链
   • 检查证书有效期
   • 验证主机名匹配
   • 检查证书撤销状态

3. ETCD特定要求：

   • 需要使用v3 API端点
   • 要求双向TLS验证
   • 对证书SAN字段有特定要求

理解这些底层机制有助于更快定位和解决类似问题。当出现证书验证失败时，建议按照从底层到上层的顺序逐步排查：先确认证书文件本身有效性，再检查配置参数，最后验证服务间通信。