NuGet.org证书验证问题分析与解决方案

问题背景

在使用NuGet.org平台时，开发者遇到了一个关于代码签名证书验证的间歇性故障问题。具体表现为使用Azure Trusted Signing(ATS)服务签名的NuGet包在上传时出现证书验证失败的情况，尽管证书本身是有效的且已正确上传到NuGet.org。

问题现象

开发者在使用ATS服务对NuGet包进行签名后，提取证书(.cer文件)并上传到NuGet.org平台。虽然证书显示为有效状态，但在尝试上传对应的NuGet包时，系统却提示找不到匹配的SHA256证书指纹。值得注意的是：

1. 使用多种签名工具(CLI、signtool、jsign)都会出现相同问题
2. NuGet Package Explorer工具显示证书是有效的
3. 部分包能成功通过验证，而其他包则失败
4. 问题似乎与曾经由DotNetFoundation(DNF)拥有的包有关

根本原因分析

经过深入调查，发现问题源于NuGet.org平台对曾经由DotNetFoundation拥有的包的特殊处理机制。即使DNF不再作为包的所有者，这些包仍然保留了与DNF账户关联的签名所有者设置。这种遗留的关联关系导致了证书验证的异常行为。

解决方案

开发者发现了以下解决方法：

1. 重新签名包：使用相同的版本号重新签名包
2. 重新上传证书：将公钥证书上传到当前包所有者账户
3. 调整签名所有者：将签名所有者从DNF账户更改为当前组织账户

需要注意的是，在某些情况下，更改签名所有者需要先将个人账户添加为包的所有者。

技术建议

对于遇到类似问题的开发者，建议：

1. 检查包的签名所有者设置，确保与当前所有者一致
2. 对于曾经由DNF拥有的包，特别注意证书验证的特殊处理
3. 使用多种工具验证证书有效性，包括NuGet Package Explorer
4. 考虑重新签名和重新上传证书的组合解决方案

这个问题也反映了NuGet.org平台在证书验证和所有者变更处理方面的一些改进空间，特别是对于曾经由特殊组织拥有的包的处理逻辑。