Apache OpenWhisk 自签名证书问题解析与解决方案

在 Apache OpenWhisk 的实际部署和使用过程中，开发者经常会遇到一个典型的安全认证问题：当使用 wsk 命令行工具与 OpenWhisk 交互时，系统提示 x509: cannot validate certificate for 172.17.0.1 because it doesn't contain any IP SANs 错误。这个问题的本质是证书验证失败，但背后反映的是 OpenWhisk 默认部署模式下的安全特性。

问题根源分析

OpenWhisk 在默认部署时会自动生成自签名证书（self-signed certificate）。这种证书虽然能够提供基本的加密通信功能，但存在两个关键特性：

1. 缺乏IP SANs扩展：证书中没有包含 Subject Alternative Names（SAN）的IP地址扩展，导致系统无法验证特定IP地址（如172.17.0.1）的合法性。

2. 未经CA认证：自签名证书没有经过权威证书颁发机构（CA）的认证，因此不被操作系统和工具默认信任。

标准解决方案

对于开发测试环境，OpenWhisk 官方推荐使用 -i 参数来跳过证书验证：

wsk -i action invoke /whisk.system/utils/echo -p message hello --result

这个参数的作用是：

• 忽略TLS/SSL证书验证
• 允许与使用自签名证书的服务端建立连接
• 适用于快速验证功能场景

生产环境建议

如果需要在生产环境中使用，建议采用以下正规化方案：

1. 替换正式证书：

   • 向可信CA申请域名证书
   • 确保证书包含正确的SAN扩展（包括IP和域名）
   • 更新OpenWhisk的证书配置

2. 本地信任配置（开发环境）：

   # 将自签名证书导入系统信任库
   sudo cp openwhisk-cert.pem /usr/local/share/ca-certificates/
   sudo update-ca-certificates
   

3. wsk配置调整： 在~/.wskprops配置文件中永久设置跳过验证：

   APIGW_ACCESS_TOKEN=...
   AUTH=...
   APIHOST=https://172.17.0.1
   INSECURE_SSL=true
   

安全注意事项

虽然跳过验证方便开发测试，但需要注意：

• 永远不要在公网环境使用-i参数
• 自签名证书无法防止中间人攻击
• 生产环境必须使用正规CA签发的证书
• 定期更新证书和私钥

通过理解这些证书验证机制，开发者可以更安全高效地使用OpenWhisk平台进行无服务器应用开发。