Keep项目在离线环境中使用自定义CA证书的解决方案探讨

在企业级离线环境中部署监控告警系统Keep时，经常会遇到内部服务使用私有CA证书的情况。本文深入分析该场景下的技术挑战，并提出两种渐进式解决方案。

核心问题分析

Keep后端容器(keep-backend)默认采用Python certifi库管理CA证书，这在隔离网络环境中会导致以下问题：

1. 无法自动识别企业私有CA证书
2. 部分Provider缺少SSL验证开关（如Zabbix/Graylog）
3. 现有临时方案存在安全隐患（直接替换certifi证书文件）

解决方案演进路线

阶段一：Provider级SSL验证开关

短期方案是为所有Provider添加"Verify SSL certificates"选项：

• 技术实现：在各Provider连接逻辑中增加verify_ssl参数
• 优势：快速解决基础连接问题
• 局限：降低了安全性，不适合长期使用

阶段二：系统级CA证书集成

长期推荐方案是改造容器证书管理体系：

1. 证书挂载机制：

   • 支持挂载到/usr/local/share/ca-certificates/
   • 自动执行update-ca-certificates命令

2. Python证书库整合：

   • 需处理certifi与系统CA存储的兼容性
   • 可能需重写部分证书加载逻辑

3. 容器启动流程优化：

   ENTRYPOINT ["/entrypoint.sh"]
   CMD ["update-ca-certificates && keep start"]
   

企业级部署建议

对于严格要求安全的企业环境，建议：

1. 优先采用系统级CA集成方案
2. 建立证书更新自动化流程
3. 开发自定义容器镜像时注意：
   • 保持基础镜像的证书工具链完整
   • 测试不同Python版本下的证书兼容性

技术展望

未来可考虑：

• 动态证书加载API
• 证书指纹验证机制
• 与K8s的Cert-Manager集成

通过系统化的证书管理方案，可以既保证企业安全要求，又确保Keep在隔离环境中的稳定运行。