Eclipse Che 中自签名证书导致 VS Code 扩展安装失败的解决方案

问题背景

在使用 Eclipse Che 7.89 版本时，当配置使用内置的 Open VSX 注册表实例后，用户可能会遇到无法安装 VS Code 扩展的问题。具体表现为：

• 扩展列表可以正常显示
• 点击安装时出现"unable to verify the first certificate"错误
• 日志显示 SSL/TLS 证书验证失败

根本原因分析

经过深入排查，发现这是由于自签名证书链不完整导致的信任链验证失败。具体表现为：

1. 工作空间容器中缺少完整的 CA 证书链
2. 现有的证书配置中只包含了终端实体证书，缺少中间证书和根证书
3. 浏览器可以忽略不完整的证书链，但 VS Code 扩展安装过程会严格执行证书验证

解决方案

完整证书链配置步骤

1. 准备完整的证书链文件

   • 确保证书文件包含终端证书、中间证书和根证书
   • 可以使用以下命令验证证书链完整性：

     openssl verify -verbose -CAfile full-chain.crt full-chain.crt
     

2. 创建 Kubernetes ConfigMap

   kubectl create configmap custom-certificate \
     --from-literal registry.crt="$(cat full-chain.crt)" \
     -n eclipse-che
   

3. 添加必要的标签

   kubectl label configmap custom-certificate \
     app.kubernetes.io/component=ca-bundle \
     app.kubernetes.io/part-of=che.eclipse.org \
     -n eclipse-che
   

验证步骤

1. 进入工作空间终端，执行：

   curl --cacert /public-certs/custom-certificate.registry.crt \
     https://your-che-domain.com
   

2. 检查证书验证结果：

   openssl s_client -connect your-che-domain.com:443 -showcerts
   

技术细节

1. 证书传播机制

   • Eclipse Che 通过 ConfigMap 将证书传播到工作空间容器
   • 证书会被挂载到 /public-certs 目录
   • VS Code 扩展管理器会使用这些证书进行 TLS 验证

2. 自签名证书要求

   • 必须包含完整的证书链
   • 证书主题必须匹配访问的域名
   • 证书必须在有效期内

最佳实践建议

1. 对于生产环境，建议使用公共信任的 CA 签发证书

2. 如果必须使用自签名证书：

   • 确保证书链完整
   • 定期轮换证书
   • 在开发环境中提前测试证书配置

3. 监控证书过期：

   • 设置证书过期提醒
   • 使用工具自动监控证书有效期

总结

通过配置完整的证书链，可以解决 Eclipse Che 中因证书验证失败导致的 VS Code 扩展安装问题。这一解决方案不仅适用于当前版本，也为后续版本中的类似问题提供了排查思路。对于企业级部署，建议将证书管理纳入 DevOps 流程，确保证书配置的规范性和可持续性。