cert-manager中自定义CA证书验证失败问题分析与解决方案

问题背景

在使用cert-manager进行ACME证书签发时，用户遇到了一个TLS证书验证失败的问题。具体表现为当配置了自定义CA证书后，系统仍然报错"x509: certificate signed by unknown authority"。值得注意的是，相同的CA证书通过openssl命令行工具验证是成功的。

问题现象

用户在Kubernetes集群中部署cert-manager v1.15.3时，配置了ACME Issuer并指定了caBundle字段，内容为经过base64编码的自定义根CA证书。然而，cert-manager控制器在尝试注册ACME账户时仍然报告证书验证失败。

根本原因分析

经过深入排查，发现问题实际上与DNS解析配置有关。在用户的网络环境中存在"split-DNS"配置，导致同一个端点根据不同的DNS解析路径返回了不同的证书。具体表现为：

1. 当从某些网络路径访问时，端点返回的证书能够被提供的CA证书验证
2. 而从另一些路径访问时，端点返回的是另一个证书，这个证书无法被提供的CA证书验证

这种不一致性导致了看似矛盾的状况：虽然CA证书本身是正确的（openssl验证通过），但在某些访问路径下仍然会验证失败。

解决方案

用户最终通过两种方式解决了这个问题：

方法一：传统挂载方式

1. 创建包含CA证书的ConfigMap
2. 将证书挂载到cert-manager控制器和webhook的/etc/ssl/certs目录下
3. 这种方式绕过了caBundle字段的直接使用，确保系统能够找到并信任自定义CA

方法二：DNS配置修正

更根本的解决方案是统一网络环境中的DNS解析策略，确保无论从哪个网络路径访问，端点都返回相同的、可被验证的证书。这需要：

1. 检查网络中的DNS解析策略
2. 消除可能造成证书不一致的解析路径
3. 确保所有访问路径都能获得可被验证的证书

经验总结

1. 当遇到证书验证问题时，不仅要检查证书本身，还需要考虑网络环境因素
2. split-DNS配置可能导致证书验证出现看似矛盾的结果
3. cert-manager提供了多种方式来配置信任的CA证书，包括caBundle字段和传统挂载方式
4. 在复杂网络环境中，建议使用openssl等工具从不同网络位置验证证书一致性

最佳实践建议

1. 在配置自定义CA时，建议先在目标Pod内使用openssl验证证书链是否完整
2. 对于关键业务系统，建议消除网络中的split-DNS配置
3. 可以考虑同时使用caBundle和挂载方式双重保障
4. 定期检查CA证书的有效期和吊销状态