Adminer连接MSSQL时自签名证书问题的解决方案

在使用Adminer管理工具通过非标准端口连接配置了自签名证书的MS SQL Server时，可能会遇到SSL证书验证失败的问题。本文将详细分析问题原因并提供完整的解决方案。

问题背景

当Adminer部署在内网服务器上并通过8443端口对外提供服务时，尝试连接同样位于内网的MS SQL Server（使用自签名证书）会出现错误提示："SSL Provider: [error:0A000086:SSL routines::certificate verify failed:self-signed certificate]"。

根本原因分析

1. SSL证书验证机制：ODBC Driver 18 for SQL Server默认会验证服务器证书的有效性
2. 自签名证书问题：自签名证书不被公共CA机构认可，导致验证失败
3. 非标准端口影响：通过端口转发时，Adminer可能无法自动设置信任服务器证书的参数

解决方案

方法一：使用login-ssl.php插件

Adminer提供了专门的SSL登录插件来解决此类问题：

1. 下载并启用login-ssl.php插件
2. 在插件配置中设置信任自签名证书的参数
3. 确保插件正确加载到Adminer的插件目录中

方法二：PHP OpenSSL配置

修改php.ini配置文件，添加对自签名证书的信任：

1. 定位到php.ini中的OpenSSL配置部分
2. 设置openssl.cafile参数，指向包含自签名证书的CA文件
3. 重启Web服务使配置生效

方法三：ODBC连接字符串参数

虽然问题中提到端口转发影响了参数设置，但可以尝试通过以下方式强制设置：

1. 在连接字符串中明确添加TrustServerCertificate=yes参数
2. 确保连接字符串格式正确，例如：Server=server_name;Database=db_name;TrustServerCertificate=yes

最佳实践建议

1. 生产环境建议：在生产环境中应使用正规CA签发的证书，而非自签名证书
2. 测试环境处理：若必须在测试环境使用自签名证书，建议将证书导入到受信任的根证书存储
3. 安全性考虑：TrustServerCertificate=yes会降低连接安全性，仅在测试环境使用
4. 日志记录：启用详细的SQL Server和PHP错误日志，便于排查连接问题

总结

通过合理配置Adminer插件或PHP的OpenSSL设置，可以解决自签名证书导致的连接问题。在实际应用中，应根据环境需求选择最适合的解决方案，同时注意平衡功能需求与安全性要求。