Sentry自托管服务SMTP证书验证失败问题解决方案

问题背景

在使用Sentry自托管服务时，配置SMTP邮件服务可能会遇到证书验证失败的问题。具体表现为当尝试通过TLS连接SMTP服务器发送邮件时，系统抛出CERTIFICATE_VERIFY_FAILED错误，提示"invalid CA certificate"。

错误分析

该错误通常发生在以下情况：

1. SMTP服务器使用了自签名证书
2. 中间CA证书未正确配置
3. 证书链不完整
4. 系统CA证书存储中缺少必要的根证书

错误日志显示Python的SSL模块无法验证服务器提供的证书，表明证书验证过程失败。

解决方案

方法一：使用正确的CA证书

1. 获取正确的CA证书

   • 不要仅通过openssl命令从服务器获取证书
   • 联系邮件服务器管理员获取完整的CA证书链文件

2. 部署CA证书

   • 将获得的CA证书文件(.crt或.pem格式)放入Sentry的证书目录
   • 默认路径为self-hosted-sentry/certificates

3. 重启服务

   docker compose restart web worker
   

方法二：临时解决方案（不推荐）

如果暂时无法获取正确的CA证书，可以临时禁用证书验证（仅限测试环境）：

1. 修改Sentry配置文件

   mail.use-tls: true
   mail.ssl-ca-file: null
   mail.ssl-cert-reqs: "none"
   

2. 重启服务

注意：此方法会降低安全性，不建议在生产环境使用。

最佳实践

1. 始终使用受信任的CA颁发的证书
2. 确保证书链完整
3. 定期更新证书
4. 在生产环境中强制启用证书验证

技术原理

当Sentry通过SMTP发送邮件时：

1. 客户端(worker)与邮件服务器建立连接
2. 协商使用STARTTLS升级为加密连接
3. 服务器提供证书供客户端验证
4. 客户端检查证书的有效性（包括有效期、签名链、主机名匹配等）
5. 如果验证失败，连接终止并抛出错误

正确的CA证书配置确保了第4步验证过程能够成功完成。

总结

SMTP证书验证失败是Sentry自托管服务中常见的问题，通常通过正确配置CA证书即可解决。建议系统管理员与邮件服务器管理员协作，获取完整的证书链文件，以确保系统安全稳定地运行。