Vigil项目在Rocky Linux 9上的证书验证问题分析与解决方案

问题背景

Vigil是一款开源的服务器监控工具，用于检测服务的可用性。近期有用户报告在Rocky Linux 9系统上运行时，Vigil无法验证有效的HTTPS证书，尽管系统本身可以正常验证这些证书。

技术分析

证书验证机制

Vigil使用Rust的reqwest库进行HTTP请求，默认配置使用了native-tls-vendored特性。这个特性会：

1. 使用系统OpenSSL库的vendored(捆绑)版本
2. 通过openssl-probe库查找系统证书存储位置
3. 设置SSL_CERT_FILE和SSL_CERT_DIR环境变量

在Rocky Linux 9等基于RHEL的系统上，证书通常存储在/etc/pki/tls/certs/目录下。虽然openssl-probe会正确识别这个路径，但vendored版本的OpenSSL可能无法正确加载这些证书。

根本原因

问题核心在于：

1. Vendored OpenSSL版本可能与系统OpenSSL存在兼容性问题
2. 证书路径解析在特定环境下可能失败
3. 环境变量传递可能在某些情况下不生效

解决方案

方案一：使用rustls替代native-tls

修改Cargo.toml配置，将依赖从native-tls-vendored改为rustls-tls-webpki-roots：

reqwest = { version = "0.11", features = ["rustls-tls-webpki-roots", "gzip", "blocking", "json"], default-features = false }

rustls是纯Rust实现的TLS，不依赖系统OpenSSL，使用内置的webpki根证书。

方案二：移除vendored特性

如果不需要musl静态链接，可以移除vendored特性：

reqwest = { version = "0.11", features = ["native-tls", "gzip", "blocking", "json"], default-features = false }

方案三：自定义构建

对于需要musl静态链接的场景，可以考虑：

1. 创建自定义构建配置
2. 手动指定证书路径
3. 使用交叉编译工具链

最佳实践建议

1. 在基于glibc的系统上，优先使用非vendored的native-tls
2. 需要跨平台兼容时，考虑使用rustls
3. 生产环境中建议测试不同TLS后端的性能和兼容性
4. 对于容器化部署，可以预先配置好证书路径

总结

Vigil的证书验证问题主要源于OpenSSL vendored版本与特定Linux发行版的兼容性问题。通过选择合适的TLS后端或调整构建配置，可以解决这一问题。理解不同TLS实现的优缺点有助于根据实际需求做出最佳选择。

对于系统管理员和DevOps工程师，建议在部署前测试证书验证功能，确保监控系统能够正确验证目标服务的HTTPS证书，避免误报服务不可用的情况。