Node.js MSSQL模块连接EC2实例时的证书问题解决方案

在使用Node.js的mssql模块连接Microsoft SQL Server时，从6.2.0版本升级到10.0.2版本后，许多开发者会遇到证书相关的问题。特别是在生产环境中连接EC2实例上的SQL Server时，当配置trustServerCertificate为false时，会出现"self signed certificate"错误。

问题背景

在mssql模块的较新版本中，安全性得到了增强。默认情况下，模块会验证SQL Server的TLS证书。当连接到EC2实例上的SQL Server时，如果使用的是自签名证书或没有正确配置证书，就会遇到连接失败的问题。

根本原因分析

1. 版本差异：mssql 6.2.0对证书验证的要求较为宽松，而10.0.2版本加强了安全性验证
2. 生产环境要求：生产环境中通常需要设置trustServerCertificate为false以符合安全规范
3. 证书配置：EC2实例上的SQL Server如果没有使用受信任CA签发的证书，就会触发此错误

解决方案

方案一：使用受信任的CA证书（推荐）

1. 为EC2实例上的SQL Server获取由受信任CA签发的证书
2. 在SQL Server配置中正确安装和配置该证书
3. 确保证书的CN(Common Name)或SAN(Subject Alternative Name)与连接时使用的主机名匹配

方案二：添加自签名证书到信任链

1. 将SQL Server使用的自签名证书导出为文件
2. 在Node.js应用中，将该证书添加到信任链中
3. 可以通过设置NODE_EXTRA_CA_CERTS环境变量或修改代码实现

方案三：临时解决方案（不推荐用于生产）

{
  options: {
    encrypt: true,
    trustServerCertificate: true
  }
}

这种方法会跳过证书验证，虽然可以解决连接问题，但会降低安全性，不建议在生产环境中使用。

最佳实践建议

1. 对于生产环境，始终使用由受信任CA签发的证书
2. 定期更新证书，确保证书没有过期
3. 在开发环境可以使用自签名证书，但应将其添加到开发机器的信任存储中
4. 考虑使用AWS Certificate Manager来管理证书，简化证书的部署和更新流程

总结

从mssql 6.2.0升级到10.0.2后，证书验证变得更加严格。在生产环境中连接EC2实例上的SQL Server时，正确的证书配置至关重要。开发者应当优先考虑使用受信任CA签发的证书，而不是简单地禁用证书验证，这样才能在保证连接功能的同时确保数据传输的安全性。