OHA工具测试HTTPS服务时处理UnknownIssuer证书错误的解决方案

在使用OHA工具进行HTTP压测时，测试HTTPS服务可能会遇到"invalid peer certificate: UnknownIssuer"错误。这种情况通常发生在测试环境使用自签名证书或内部CA签发的证书时。

问题分析

当OHA工具连接HTTPS服务时，默认会验证服务端证书的有效性。如果遇到以下情况，验证就会失败：

1. 测试环境使用自签名证书
2. 证书由内部CA签发，但该CA根证书未安装在测试机器上
3. 证书链不完整

解决方案

OHA工具提供了--insecure参数来绕过证书验证，这在测试环境中是一个实用的解决方案。使用方式如下：

oha --insecure https://your-test-server.com

这个参数会：

• 忽略证书颁发机构验证
• 不检查证书是否过期
• 不验证主机名是否匹配

注意事项

虽然--insecure参数在测试环境中很方便，但在生产环境中使用存在安全风险：

1. 无法防止中间人攻击
2. 无法验证服务器真实性

对于长期测试环境，建议将测试服务器的CA根证书安装到测试机器的信任存储中，这样既能保证安全性，又能避免证书验证错误。

替代方案

如果不想使用--insecure参数，可以考虑：

1. 将测试环境的CA证书添加到系统的信任存储
2. 使用OHA的--cert和--key参数指定客户端证书（如果需要双向认证）
3. 为测试环境申请受信任的CA签发的证书（如Let's Encrypt）

通过合理选择解决方案，可以确保OHA工具在各种环境下都能顺利执行HTTPS性能测试。