解决Docker版Sentry中SMTP SSL证书验证失败问题

在使用Docker容器化部署Sentry时，配置SMTP邮件服务可能会遇到SSL证书验证失败的错误。本文将深入分析问题原因并提供完整的解决方案。

问题现象

当Sentry尝试通过SSL加密连接（端口465）发送邮件时，系统抛出错误：

ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1000)

此错误表明系统无法验证SMTP服务器的SSL证书链，通常出现在以下情况：

1. 使用自签名证书
2. 证书链不完整
3. 中间证书未正确安装
4. 根证书不在系统信任库中

根本原因分析

Docker容器内的Python环境使用系统默认的CA证书存储。当遇到以下情况时会出现验证失败：

• 企业内网使用的私有CA证书
• 自建邮件服务的自签名证书
• 证书链配置不完整

完整解决方案

第一步：获取SMTP服务器证书

使用OpenSSL工具导出服务器证书：

openssl s_client -starttls smtp -connect mail.example.com:465 -showcerts </dev/null 2>/dev/null | openssl x509 -outform PEM > smtp-cert.crt

第二步：部署证书到容器

将证书文件放入Docker容器的CA证书目录：

docker cp smtp-cert.crt sentry-web:/usr/local/share/ca-certificates/
docker cp smtp-cert.crt sentry-worker:/usr/local/share/ca-certificates/

第三步：更新容器内的CA存储

在每个容器内执行证书更新：

docker exec sentry-web update-ca-certificates
docker exec sentry-worker update-ca-certificates

验证命令应显示证书已添加：

1 added, 0 removed; done.

第四步：重启Sentry服务

确保配置生效：

docker-compose down && docker-compose up -d

高级配置建议

对于生产环境，建议考虑以下最佳实践：

1. 证书管理：

   • 使用可信CA签发的证书
   • 确保证书链完整
   • 监控证书有效期

2. 容器化部署优化：

   • 创建自定义Docker镜像包含所需CA证书
   • 使用volume挂载证书目录实现持久化

3. 测试验证：

   • 使用openssl验证连接
   • 测试发送测试邮件
   • 检查Sentry日志确认无错误

故障排除指南

如果问题仍然存在，可尝试以下步骤：

1. 检查证书有效性：

   openssl verify -CApath /etc/ssl/certs/ smtp-cert.crt
   

2. 临时禁用验证（仅限测试环境）： 在Sentry配置中添加：

   mail.ssl-certificate-verification: false
   

3. 检查容器时区设置，确保证书有效期检查正确

通过以上方法，可以系统性地解决Sentry在Docker环境中遇到的SMTP SSL证书验证问题，确保邮件通知功能正常运作。