解决dotnet-docker项目中Windows作业的NuGet证书信任问题

问题背景

在dotnet-docker项目的Windows环境测试作业中，开发团队发现了一个间歇性出现的NuGet包验证问题。具体表现为在进行dotnet restore操作时，系统会报出"untrusted root"（不受信任的根证书）错误，导致包恢复失败。

错误现象分析

当问题发生时，控制台会输出多个错误信息，主要包括两类：

1. 仓库主签名有效期已过期（NU3037错误）
2. 仓库主签名的时间戳证书不受信任提供程序信任（NU3028错误）

这些错误主要出现在一些运行时特定的NuGet包上，如runtime.fedora.24-x64.runtime.native.System.Security.Cryptography.OpenSsl等。错误信息表明NuGet.org仓库的签名证书虽然有效，但其时间戳证书的信任链存在问题。

根本原因

经过分析，这个问题源于Windows环境下的证书验证机制。NuGet包签名使用的证书链中，时间戳服务的根证书可能未被某些Windows系统默认信任。这种情况在以下条件下更容易发生：

• 系统证书存储不完整或未及时更新
• 网络条件不稳定导致证书验证过程中断
• 系统时间不准确影响证书有效期验证

解决方案

微软NuGet团队已经意识到这个问题，并在.NET 8 SDK中内置了重试机制。默认情况下，当遇到此类证书信任问题时，系统会自动进行最多3次重试，每次间隔1000毫秒。

在dotnet-docker项目中，团队通过PowerShell脚本显式设置了环境变量NUGET_EXPERIMENTAL_CHAIN_BUILD_RETRY_POLICY来启用这一功能。然而，从实际运行情况看，默认的3次重试可能仍不足以解决问题。

优化建议

针对这个问题，可以考虑以下优化措施：

1. 增加重试次数：将重试次数从默认的3次提高到5-10次，给系统更多机会完成证书验证。

2. 延长重试间隔：适当增加重试间隔时间（如2000毫秒），给网络和系统更多恢复时间。

3. 预加载证书：在测试环境初始化阶段，预先将NuGet.org使用的所有相关证书安装到系统的受信任根证书存储中。

4. 时间同步检查：确保测试环境的系统时间准确，避免因时间偏差导致的证书有效期验证失败。

实施效果

通过调整重试策略参数，可以显著降低此类错误的发生频率。在实际测试中，增加重试次数和间隔后，大部分间歇性证书验证问题都能得到解决，提高了测试作业的稳定性和可靠性。

总结

证书信任问题是分布式开发环境中常见的挑战之一。dotnet-docker项目通过利用NuGet提供的重试机制，有效缓解了Windows环境下因证书验证导致的构建失败问题。开发团队可以根据实际运行情况，进一步优化重试参数，以达到最佳效果。