Remotely-Save插件WebDAV证书验证问题深度解析

问题现象与背景

近期部分用户在使用Remotely-Save插件连接群晖NAS的WebDAV服务时，遭遇了证书验证失败的问题。典型表现为：

• 连接时提示"ERR_CERT_AUTHORITY_INVALID"错误
• 相同配置在其他客户端（如RaiDrive、nPlayer）可正常使用
• 跨平台出现（Windows/iOS/Android）

根本原因分析

该问题主要涉及SSL/TLS证书验证机制：

1. 证书链不完整：自签名证书或私有CA证书未被系统信任库收录
2. 协议兼容性问题：Obsidian底层使用的Electron框架对证书校验较为严格
3. 混合环境差异：内网HTTP可通但外网必须HTTPS（iOS强制要求）

解决方案全景

企业级方案（推荐）

1. 正确配置证书：

   • 在群晖控制面板中进入"安全性 > 证书"
   • 确保证书包含完整信任链
   • 为WebDAV服务分配正确的服务器证书

2. 使用Let's Encrypt：

   • 通过群晖内置的Let's Encrypt客户端获取免费证书
   • 设置自动续期确保证书有效性

临时解决方案

1. 系统级信任自签名证书：

   • 将CA证书导入操作系统受信任根证书颁发机构
   • 各系统操作方法不同（Windows证书管理器/macOS钥匙串访问等）

2. 开发调试方案：

   obsidian --ignore-certificate-errors
   

   （注：此方法会降低安全性，仅建议测试环境使用）

平台特异性问题

特别需要注意的是iOS平台的额外限制：

• 强制要求HTTPS连接
• 对证书有效期检查更为严格
• 需要用户手动信任企业证书（如有）

最佳实践建议

1. 生产环境务必使用可信证书（如Let's Encrypt）
2. 定期检查证书有效期（建议设置自动续期）
3. 内网环境也建议启用HTTPS
4. 多设备同步时确保各系统时钟同步（证书验证依赖准确时间）

技术原理延伸

现代浏览器和Electron应用采用严格的证书固定（Certificate Pinning）机制，这是导致自签名证书失败的根本原因。与专用客户端不同，这些环境不会自动信任用户添加的证书，必须通过系统级信任链验证。

通过正确配置证书体系，不仅能解决Remotely-Save的同步问题，也能提升整个NAS服务的安全性，是值得投入时间完善的基建工作。