解决action-gh-release中的证书验证错误问题

问题背景

在使用softprops/action-gh-release项目创建GitHub Release时，开发者可能会遇到"self-signed certificate in certificate chain"的错误提示。这个错误表明Node.js运行时在尝试建立HTTPS连接时，在证书验证链中发现了验证问题，导致SSL/TLS握手失败。

错误分析

该错误通常出现在以下场景：

1. 企业内网环境中使用了自定义证书进行流量管理
2. GitHub Actions运行器配置了特殊证书
3. 网络环境配置了特殊证书

错误的核心在于Node.js默认信任的证书存储中不包含这些特殊证书，因此会中断HTTPS连接。

解决方案

方法一：配置NODE_EXTRA_CA_CERTS环境变量

这是最推荐的解决方案，具体步骤如下：

1. 获取特殊CA证书文件(.pem或.crt格式)
2. 将证书文件放置在GitHub Actions工作目录中
3. 设置环境变量指向该证书文件

在GitHub Actions工作流中可以这样配置：

env:
  NODE_EXTRA_CA_CERTS: /path/to/ca-certificates.crt

方法二：全局配置CA证书

对于自托管运行器，可以在运行器环境中：

1. 将CA证书添加到系统的证书存储中
2. 确保Node.js能够访问系统证书存储

方法三：禁用证书验证(不推荐)

虽然可以通过设置NODE_TLS_REJECT_UNAUTHORIZED=0来禁用证书验证，但这会带来严重的安全风险，不建议在生产环境中使用。

最佳实践

1. 优先使用NODE_EXTRA_CA_CERTS方法，它只影响当前进程
2. 确保证书文件使用正确的格式(PEM编码)
3. 对于企业环境，考虑将CA证书预装在运行器镜像中
4. 定期更新CA证书，确保证书没有过期

技术原理

Node.js使用OpenSSL进行TLS/SSL通信，默认会验证服务器证书的有效性。当遇到特殊证书时，需要明确告知Node.js信任这些证书。NODE_EXTRA_CA_CERTS环境变量允许开发者指定额外的CA证书文件，这些证书会被添加到Node.js的信任存储中。

通过这种方式，既解决了证书验证问题，又保持了HTTPS连接的安全性，因为只有指定的CA证书会被信任，而不是完全禁用证书验证。