Eclipse Che 7.89 版本中自签名证书导致VS Code扩展安装失败的解决方案

问题背景

在使用Eclipse Che 7.89版本时，当配置Che集群使用内置的Open VSX注册表实例后，用户可能会遇到无法安装VS Code扩展的问题。具体表现为在Che工作区中点击安装扩展时，会出现"unable to verify the first certificate"的错误提示。

根本原因分析

经过深入排查，发现该问题与自签名证书的配置有关。当使用自签名证书为Che域名配置HTTPS时，工作区容器未能正确获取完整的证书链，导致无法验证服务器证书的有效性。具体表现为：

1. 工作区容器中缺少完整的CA证书链
2. 内置的Open VSX注册表服务使用的证书验证失败
3. 证书链中缺少中间证书和根证书

解决方案

第一步：验证证书问题

在工作区终端中执行以下命令验证证书链完整性：

openssl verify -verbose -CAfile /public-certs/custom-certificate.registry.crt /public-certs/custom-certificate.registry.crt

openssl s_client -connect your-che-domain.com:443 -showcerts

如果输出显示"unable to verify the first certificate"或"unable to get local issuer certificate"，则确认是证书链不完整的问题。

第二步：准备完整的证书链

确保你的证书文件包含完整的证书链，包括：

1. 服务器证书
2. 中间证书
3. 根证书

可以使用文本编辑器将所有这些证书按顺序合并到一个文件中。

第三步：创建ConfigMap

在Che命名空间中创建包含完整证书链的ConfigMap：

HOST=your-che-domain.com
NAMESPACE=$(kubectl get checluster -A -o "jsonpath={.items[0].metadata.namespace}")
CERTS=$(openssl s_client -showcerts -connect $HOST:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p')

kubectl create configmap custom-certificate --from-literal registry.crt="${CERTS}" -n $NAMESPACE
kubectl label configmap custom-certificate app.kubernetes.io/component=ca-bundle app.kubernetes.io/part-of=che.eclipse.org -n $NAMESPACE

第四步：验证配置

1. 确认工作区Pod中已挂载新的证书文件
2. 检查证书文件路径：/public-certs/custom-certificate.registry.crt
3. 使用curl测试证书有效性：

curl --cacert /public-certs/custom-certificate.registry.crt https://your-che-domain.com

技术原理

Eclipse Che的工作区容器需要能够验证主服务器的证书。当使用自签名证书时，必须确保：

1. 完整的证书链被正确注入到工作区容器中
2. 证书文件具有正确的权限和路径
3. 证书链中包含所有必要的中间证书

Che Operator会自动将标记有特定标签(app.kubernetes.io/component=ca-bundle)的ConfigMap注入到所有工作区容器中，但前提是证书链必须完整。

最佳实践建议

1. 始终使用包含完整证书链的证书文件
2. 定期检查证书的有效期
3. 在生产环境中考虑使用受信任的CA颁发的证书
4. 在更新证书后，重建工作区以确保新证书生效

通过以上步骤，可以解决因自签名证书配置不当导致的VS Code扩展安装失败问题，确保开发者在Eclipse Che环境中能够顺利使用各种开发工具扩展。