SQLpage项目中使用自定义SSL CA证书实现安全HTTP请求

在SQLpage项目中，开发者经常需要从外部API获取数据，而sqlpage.fetch()函数正是为此设计的。然而，当目标服务器使用私有或自签名的SSL证书时，默认配置会导致连接失败，报错"Failed to connect to host: invalid peer certificate: UnknownIssuer"。

问题背景

SQLpage默认使用rustls作为TLS后端，它内置了一组受信任的根证书颁发机构(CA)列表。对于企业内部或开发环境中使用自签名证书的服务，这些证书不会被默认信任，导致HTTPS请求失败。

技术解决方案

要解决这个问题，我们需要修改SQLpage的核心代码，使其能够加载并使用系统或用户指定的CA证书。具体实现涉及以下几个关键点：

1. HTTP客户端重构：将原本在函数内部创建的HTTP客户端移动到AppState结构中，使其成为全局可配置的对象。

2. 配置选项扩展：在应用配置中添加新选项，允许用户指定是否使用本地根证书存储。

3. 证书加载机制：利用rustls-native-certs库自动加载系统信任的CA证书，或通过配置指定自定义CA证书路径。

实现细节

在Rust代码层面，主要修改包括：

• 修改AppState结构体，增加可配置的HTTP客户端成员
• 扩展应用配置结构体，添加相关配置项
• 使用rustls的ConfigBuilder.with_root_certificates方法初始化TLS配置
• 集成rustls-native-certs库提供的系统证书加载功能

安全考虑

实现此功能时需要注意：

1. 证书验证：即使使用自定义CA，仍需保持完整的证书链验证机制，防止中间人攻击。

2. 性能影响：加载大量系统证书可能增加启动时间，应考虑延迟加载或缓存机制。

3. 配置灵活性：应支持多种证书来源，包括系统存储、指定文件或内存中的证书数据。

应用场景

这一改进特别适用于以下场景：

• 企业内网服务调用
• 开发测试环境
• 使用私有PKI基础设施的系统
• 需要与特定CA签发的服务通信的应用

通过这项改进，SQLpage将能够更灵活地适应各种安全环境要求，同时保持高水平的安全性。