Azure Pipelines Agent 连接Git仓库时SSL证书验证问题分析

问题背景

在使用Azure Pipelines Agent（版本3.239.1及更高）时，部分Windows Server 2019环境中的构建任务会失败，报错显示无法连接到Git仓库。错误信息表明SSL/TLS握手过程中证书验证失败，具体错误代码为CRYPT_E_REVOCATION_OFFLINE (0x80092013)。

问题现象

构建任务执行时，Git操作会报以下错误：

fatal: unable to access 'https://server/collection/repo/_git/repo/': 
schannel: next InitializeSecurityContext failed: Unknown error (0x80092013)

根本原因分析

经过深入排查，发现问题的根源在于：

1. 证书吊销检查机制：新版本的Git（2.45.2及以上）默认启用了更严格的证书验证机制，包括在线证书吊销检查(OCSP)。当系统无法访问证书中指定的吊销服务器时，就会抛出0x80092013错误。

2. 环境差异：旧版Git（如2.39.4）对证书验证的处理较为宽松，可能不会严格执行在线吊销检查，因此在相同环境下可以正常工作。

3. 证书链问题：通过openssl工具验证发现，系统中缺少某些中间CA证书或根证书，导致完整的证书链验证失败。

解决方案

临时解决方案

1. 使用旧版Git：通过设置环境变量USE_GIT_2_39_4=true，强制Agent使用Git 2.39.4版本，该版本对证书验证要求较低。

2. 禁用证书验证（不推荐用于生产环境）：

   • 配置Agent时添加--sslskipcertvalidation参数
   • 设置环境变量agent.gituseschannel=true

永久解决方案

1. 更新系统证书存储：

   • 确保所有中间CA证书和根证书已正确安装到Windows证书存储
   • 可以通过MMC控制台中的"证书管理器"进行验证和安装

2. 检查网络连接：

   • 确认Agent服务器能够访问证书中指定的OCSP服务器
   • 检查防火墙规则是否阻止了相关连接

3. 更新证书配置：

   • 如果使用的是自签名证书，确保证书包含完整的证书链
   • 考虑使用受信任的公共CA颁发的证书

技术细节

当使用schannel（Windows的SSL/TLS实现）时，Git会执行以下验证步骤：

1. 检查证书是否由受信任的根CA颁发
2. 验证证书是否在有效期内
3. 检查证书是否被吊销（通过CRL或OCSP）
4. 验证主机名是否匹配

在问题环境中，第3步验证失败，因为系统无法连接吊销服务器。这可能是由于：

• 网络限制阻止了OCSP查询
• 证书中指定的OCSP服务器不可达
• 系统缺少必要的中间CA证书

最佳实践建议

1. 定期更新证书：确保证书链完整且所有中间证书有效
2. 网络配置检查：确保构建服务器能够访问必要的证书验证服务
3. 版本升级测试：在升级Agent或Git版本前，在测试环境充分验证
4. 监控证书有效期：建立机制监控证书到期时间，避免服务中断

通过以上分析和解决方案，可以有效地解决Azure Pipelines Agent在特定环境下连接Git仓库时的SSL证书验证问题。