Immich项目iOS客户端视频播放时的客户端证书问题分析

背景介绍

Immich是一款自托管的照片和视频备份解决方案，它允许用户在自己的服务器上存储和管理媒体文件。在安全配置方面，许多用户会选择使用客户端证书来增强服务的安全性，这是一种常见的身份验证方式，可以确保只有持有有效证书的设备才能访问服务。

问题现象

在Immich v1.129.0版本中，当系统部署在配置了强制客户端证书验证的nginx反向代理后面时，iOS移动应用(v1.131.3 build.201)在播放视频时会出现异常。具体表现为：

1. 浏览器访问和iOS应用中的照片浏览等功能工作正常
2. 唯独iOS应用中的视频播放功能无法正常工作
3. nginx日志显示视频播放请求没有携带客户端证书

技术分析

通过分析nginx日志，我们可以清楚地看到不同请求的行为差异：

• 成功的请求（如照片缩略图）日志中会显示客户端证书的CN字段
• 失败的视频请求日志中缺少客户端证书信息
• 浏览器端的视频请求则能正常携带证书

这表明问题特定于iOS客户端的视频播放功能实现方式。进一步分析发现，iOS应用在播放视频时可能使用了系统原生的视频播放组件（AppleCoreMedia），而不是应用自身的网络请求机制，这导致了客户端证书的丢失。

临时解决方案

虽然这是一个已知问题，将在未来版本中修复，但用户可以通过以下nginx配置实现临时解决方案：

ssl_verify_client optional;

# 允许不带客户端证书的资产下载请求
location /api/assets/ {
    proxy_pass http://immich_server:2283/api/assets/;
}

# 其他请求必须携带客户端证书
location / {
    if ($ssl_client_s_dn !~ "CN=.*") {
        return 403;
    }
    proxy_pass http://immich_server:2283/;
}

# 处理不带斜杠的/api/assets路径
location = /api/assets {
    if ($ssl_client_s_dn !~ "CN=.*") {
        return 403;
    }
    proxy_pass http://immich_server:2283/api/assets;
}

这个配置实现了：

1. 对视频播放等资产请求放宽证书要求
2. 对其他所有API请求保持严格的证书验证
3. 特别处理了路径格式变体，确保安全策略一致

安全考量

虽然临时解决方案允许特定路径不验证客户端证书，但需要注意：

1. 这降低了特定端点的安全性
2. 应该限制只对必要的媒体类型放宽验证
3. 建议在官方修复后尽快恢复完整验证
4. 可以结合其他安全措施如IP限制来补偿

总结

这个问题展示了移动应用中混合使用不同网络请求机制可能带来的安全配置挑战。对于使用客户端证书验证的Immich部署，用户需要特别注意iOS客户端的这一特殊行为，并根据自身安全需求选择合适的临时解决方案。随着项目的持续发展，这一问题有望在后续版本中得到根本性解决。