ModularML Mojo在AlmaLinux 9中的证书配置问题解析

问题背景

在AlmaLinux 9操作系统环境中，用户尝试通过Modular CLI工具安装Mojo和Max时遇到了SSL证书验证失败的问题。错误信息显示系统无法正确访问SSL CA证书，导致无法从官方仓库下载必要的软件包。

问题现象

当执行modular install mojo命令时，系统返回以下错误：

https://packages.modular.com/mojo/1.root.json with cURL error Problem with the SSL CA cert (path? access rights?)

根本原因分析

通过strace工具对modular命令进行跟踪，发现关键问题在于AlmaLinux 9的证书文件路径与工具预期不符。具体表现为：

1. Modular CLI工具默认查找的证书文件路径为/etc/ssl/certs/ca-certificates.crt
2. 而AlmaLinux 9实际提供的证书文件路径为/etc/ssl/certs/ca-bundle.crt
3. 这种路径差异导致SSL/TLS握手过程中无法正确验证服务器证书

解决方案

临时解决方案

创建符号链接将现有证书文件链接到工具期望的路径：

sudo cp /etc/ssl/certs/ca-bundle.crt /etc/ssl/certs/ca-certificates.crt

长期解决方案建议

对于系统管理员和开发者，建议采取以下措施：

1. 系统级配置：在系统层面创建永久性的符号链接，确保所有工具都能正确找到证书文件
2. 环境变量配置：可以通过设置SSL_CERT_FILE环境变量指定证书文件路径
3. 工具配置：检查Modular CLI工具是否有配置文件可以指定自定义证书路径

技术细节

在AlmaLinux 9中，证书管理采用了与RHEL/CentOS相同的机制，主要证书文件包括：

• /etc/ssl/certs/ca-bundle.crt：包含所有受信任CA证书的捆绑文件
• /etc/ssl/certs/ca-bundle.trust.crt：仅包含明确标记为受信任的CA证书
• /etc/pki/tls/certs：证书文件的替代存储位置

Modular CLI工具基于curl库进行HTTPS通信，而curl在Linux系统上通常依赖以下路径查找CA证书：

1. 编译时指定的默认路径
2. SSL_CERT_FILE环境变量指定的路径
3. 系统标准路径（如/etc/ssl/certs/ca-certificates.crt）

最佳实践

为避免类似问题，建议：

1. 统一证书管理：在企业环境中建立统一的证书管理策略
2. 容器化部署：在容器镜像中明确配置证书路径
3. 文档审查：使用新工具前检查其对系统环境的依赖和要求
4. 调试技巧：掌握使用strace等工具诊断类似问题的方法

总结

证书路径不一致是Linux发行版间常见的兼容性问题。通过理解不同发行版的证书管理机制和工具的工作原理，可以快速定位并解决这类SSL/TLS验证问题。对于ModularML Mojo在AlmaLinux 9中的安装问题，创建适当的符号链接是最直接有效的解决方案。