GitHub Actions Cache 证书存储问题分析与解决方案

问题背景

在使用 GitHub Actions 的缓存功能时，特别是与 Docker Buildx 结合使用时，部分用户遇到了证书相关的错误。错误信息显示系统无法找到特定指纹的签名证书，导致缓存功能无法正常工作。

错误表现

典型的错误信息如下：

Signing certificate with thumbprint 943DC3545AEC524FF3E4C1FC45CE22256D24C501 not found in store /etc/certificates

这种错误通常出现在使用自托管运行器(self-hosted runner)的环境中，当尝试将构建缓存推送到 GitHub Actions Cache 时发生。

问题原因

经过分析，这个问题主要与 GitHub Actions 缓存服务的证书验证机制有关：

1. GitHub 缓存服务使用特定证书对缓存数据进行签名和验证
2. 自托管运行器环境中可能缺少必要的根证书或中间证书
3. 证书存储路径(/etc/certificates)可能不存在或权限不足
4. 系统证书存储可能未正确更新

解决方案

临时解决方案

1. 暂时禁用缓存功能，移除工作流中的 cache-to 参数
2. 使用本地缓存替代 GitHub Actions Cache

永久解决方案

1. 更新自托管运行器的证书存储：

   sudo update-ca-certificates
   

2. 确保系统信任存储包含必要的根证书

3. 检查并设置正确的证书存储路径权限

4. 保持运行器环境与 GitHub 托管运行器环境一致

最佳实践

1. 定期更新自托管运行器的证书存储
2. 在关键工作流中添加证书验证步骤
3. 考虑使用容器化的运行器环境以确保环境一致性
4. 为缓存操作添加错误处理和回退机制

后续发展

GitHub 官方已确认并修复了此问题。建议用户：

1. 更新到最新版本的 actions/cache 和相关插件
2. 重新测试缓存功能
3. 监控工作流执行情况以确保问题完全解决

总结

证书问题是自托管运行器环境中常见的基础设施问题。通过理解 GitHub Actions Cache 的工作原理和证书验证机制，开发者可以更好地诊断和解决类似问题。保持运行器环境的更新和维护是预防此类问题的关键。