解决GitHub Actions中setup-python的SSL证书验证失败问题

在企业级开发环境中，使用自托管运行器执行GitHub Actions工作流时，经常会遇到SSL证书验证失败的问题。本文将深入分析这一问题的成因，并提供完整的解决方案。

问题背景

当企业网络环境处于中间服务器后方时，所有外部网络请求都需要通过企业中间服务器进行中转。这种情况下，使用GitHub Actions的setup-python操作安装Python环境时，会出现"unable to get local issuer certificate"错误。这是因为中间服务器使用了自签名证书或企业CA签发的证书，而运行环境中没有正确配置这些证书链。

根本原因分析

SSL证书验证失败通常由以下因素导致：

1. 运行环境中缺少企业中间服务器的根证书
2. Python的pip工具没有正确配置证书路径
3. 容器化环境中证书配置未正确继承
4. 系统证书存储未更新

解决方案

基础环境准备

首先确保运行环境已安装OpenSSL相关组件：

sudo apt-get update
sudo apt-get install -y ca-certificates openssl

证书安装与配置

将企业中间服务器证书添加到系统信任存储：

# 复制证书到系统证书目录
sudo cp /path/to/enterprise-middleware.crt /usr/local/share/ca-certificates/

# 更新系统证书存储
sudo update-ca-certificates

容器环境特殊处理

对于容器化运行环境，需要在构建镜像阶段就包含证书配置：

FROM ubuntu:22.04

RUN apt-get update && \
    apt-get install -y ca-certificates && \
    cp /path/to/enterprise-middleware.crt /usr/local/share/ca-certificates/ && \
    update-ca-certificates

工作流配置优化

在GitHub Actions工作流中，添加证书环境变量配置：

steps:
  - name: 配置中间服务器证书
    run: echo "REQUESTS_CA_BUNDLE=/usr/local/share/ca-certificates/enterprise-middleware.crt" >> $GITHUB_ENV
  
  - uses: actions/setup-python@v5
    with:
      python-version: '3.10'

高级配置选项

对于更复杂的环境，可以考虑以下额外配置：

1. 全局pip配置：创建或修改pip配置文件，指定证书路径
2. SSL验证绕过：仅限测试环境使用，通过设置pip --trusted-host参数
3. 证书链完整性问题：确保证书文件包含完整的证书链

最佳实践建议

1. 将证书管理纳入基础设施即代码(IaC)流程
2. 为不同环境维护独立的证书配置
3. 定期更新和轮换证书
4. 在CI/CD流水线中加入证书健康检查

通过以上方法，可以有效解决GitHub Actions在中间服务器环境下执行Python环境配置时的SSL验证问题，确保开发流程的顺畅进行。