Grist项目中使用自签名证书连接OIDC提供商的解决方案

问题背景

在Grist项目中集成自托管OIDC提供商(如Keycloak)时，当Keycloak使用组织CA签名的自签名证书时，可能会遇到"unsafe legacy renegotiation disabled"错误。这个问题主要出现在Node.js 18及以上版本的环境中，因为新版本默认禁用了不安全的传统重新协商功能。

错误分析

当Grist尝试与使用自签名证书的Keycloak服务建立TLS连接时，Node.js的OpenSSL实现会拒绝那些需要传统重新协商的TLS连接。错误信息明确指出了这一点：

Error: write EPROTO 00082E04FA7F0000:error:0A000152:SSL routines:final_renegotiate:unsafe legacy renegotiation disabled

常见解决方案尝试

1. NODE_TLS_REJECT_UNAUTHORIZED=0
   这是最常见的绕过证书验证的方法，但在这种情况下并不能解决问题，因为错误与证书验证无关，而是与TLS重新协商机制有关。

2. NODE_EXTRA_CA_CERTSFILE
   通过指定额外的CA证书文件来信任自签名证书，这种方法适用于证书信任问题，但对于TLS重新协商问题无效。

3. OpenSSL配置修改
   尝试通过修改OpenSSL配置来启用传统重新协商，但在Node.js环境中这种方法往往难以生效。

有效解决方案

经过多方尝试，发现最有效的解决方案是强制使用TLS 1.3协议。TLS 1.3协议在设计上移除了重新协商机制，从根本上避免了这个问题。

实施步骤

1. Keycloak服务器配置
   确保Keycloak服务器配置为支持TLS 1.3协议。这通常需要在Keycloak前端的负载均衡器或反向代理(如Nginx、Apache或Traefik)中进行配置。

2. Grist容器配置
   如果Grist运行在容器环境中，可以构建自定义镜像确保使用最新的OpenSSL版本：

FROM gristlabs/grist:latest
RUN apt-get update && apt-get -y upgrade openssl

3. 环境变量配置
   确保Grist配置中正确指向支持TLS 1.3的Keycloak端点：

GRIST_OIDC_IDP_ISSUER: "https://your-keycloak-domain/realms/your-realm/.well-known/openid-configuration"
GRIST_OIDC_IDP_CLIENT_ID: "your-client-id"
GRIST_OIDC_IDP_CLIENT_SECRET: "your-client-secret"

安全考虑

虽然本文提供了解决方案，但需要强调的是：

1. 在生产环境中，应优先考虑升级服务端配置以支持现代TLS协议，而不是降低安全要求。
2. 在隔离网络中使用自签名证书时，应确保正确配置证书信任链，而不是完全禁用证书验证。
3. TLS 1.3不仅解决了重新协商问题，还提供了更好的安全性和性能。

总结

在Grist项目中集成使用自签名证书的OIDC提供商时，遇到"unsafe legacy renegotiation disabled"错误的主要原因是TLS协议版本不兼容。通过强制使用TLS 1.3协议可以有效地解决这个问题，同时保持较高的安全标准。对于企业内网环境，建议同时配置正确的证书信任链，以建立完整的信任体系。