Jellyseerr与自签名证书问题的解决方案

问题背景

在使用Jellyseerr管理Radarr和Sonarr服务时，当这些服务启用了SSL加密并使用内部CA签名的证书时，Jellyseerr会出现无法获取配置文件的问题。具体表现为在Jellyseerr中配置服务使用SSL端口后，系统日志中会出现"Failed to retrieve profiles: fetch failed"的错误提示。

问题分析

这个问题源于Node.js运行环境对SSL证书的验证机制。当使用内部CA签名的证书时，虽然操作系统层面已经安装了完整的CA证书链（包括根证书和中间签名CA证书），但Node.js默认不会自动使用系统的证书存储。这就导致了：

1. 通过命令行工具如openssl可以成功建立SSL连接
2. 但Node.js应用程序（如Jellyseerr）却无法验证证书的有效性
3. 最终导致HTTPS请求失败

解决方案

要解决这个问题，需要通过环境变量显式地告诉Node.js额外的CA证书位置。具体步骤如下：

1. 确保你的CA证书文件已经放置在系统的证书目录中，通常为/usr/local/share/ca-certificates/
2. 修改Jellyseerr的服务配置文件，添加环境变量配置
3. 指定NODE_EXTRA_CA_CERTS环境变量指向你的CA证书文件

详细操作步骤

1. 确认CA证书位置： 首先确认你的CA证书文件已经正确安装到系统证书目录，例如：

   /usr/local/share/ca-certificates/my-ca.crt
   

2. 修改服务配置： 编辑Jellyseerr的systemd服务文件（通常位于/etc/systemd/system/jellyseerr.service），在[Service]部分添加以下内容：

   Environment=NODE_EXTRA_CA_CERTS=/usr/local/share/ca-certificates/my-ca.crt
   

3. 重载并重启服务：

   sudo systemctl daemon-reload
   sudo systemctl restart jellyseerr
   

技术原理

这个解决方案利用了Node.js提供的NODE_EXTRA_CA_CERTS环境变量机制。该变量允许开发者指定额外的CA证书文件路径，Node.js运行时会将这个证书文件中的CA证书添加到它内部的信任存储中。这样，当Jellyseerr（基于Node.js）尝试与配置了自签名证书的Radarr/Sonarr建立HTTPS连接时，就能正确验证服务器证书的有效性。

注意事项

1. 确保指定的证书文件路径正确无误
2. 证书文件需要包含完整的证书链（如果适用）
3. 修改服务配置后必须重载systemd并重启服务
4. 如果使用容器化部署，需要确保证书文件在容器内也可访问

总结

通过配置NODE_EXTRA_CA_CERTS环境变量，我们成功解决了Jellyseerr在使用内部CA签名的SSL证书时无法连接Radarr/Sonarr的问题。这个解决方案不仅适用于Jellyseerr，对于其他基于Node.js的应用程序遇到类似证书验证问题时也同样有效。