Hoverfly模拟模式下SSL证书问题的分析与解决

问题背景

在使用Hoverfly进行API模拟测试时，开发人员可能会遇到一个特殊现象：尽管已经将Hoverfly设置为模拟模式(simulation mode)，但系统仍然尝试连接真实服务并因SSL证书问题失败。这种情况通常发生在CI/CD流水线环境中，而本地开发环境却能正常工作。

问题现象

当Hoverfly在模拟模式下运行时，理论上不应该与任何真实服务建立连接。然而在某些情况下，日志中会出现类似以下的错误信息：

Cannot handshake client example.com:443 remote error: tls: unknown certificate

这表明系统正在尝试与真实服务建立TLS连接，但由于证书问题而失败。更严重的是，在出现这个错误后，Hoverfly可能会绕过模拟设置，直接将请求代理到真实服务。

根本原因

这个问题通常源于测试环境中缺少对Hoverfly自签名证书的信任配置。Hoverfly在拦截HTTPS流量时会使用自己的证书进行中间人攻击(MITM)方式的代理，这需要：

1. Hoverfly的CA证书必须被添加到测试环境的信任存储中
2. 客户端必须配置为信任这个证书

本地开发环境可能已经配置了这些信任设置，但CI/CD环境通常采用干净的构建环境，缺少这些配置。

解决方案

要解决这个问题，需要在测试环境中完成以下步骤：

1. 获取Hoverfly的CA证书
2. 将证书导入到测试环境的信任存储中

对于基于Linux的CI环境，可以使用以下命令示例：

# 下载Hoverfly证书
wget http://localhost:8888/api/v2/hoverfly/certificate.pem -O hoverfly-ca.crt

# 将证书添加到系统信任存储
sudo cp hoverfly-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

对于Java应用，还需要确保JVM信任这个证书，可以通过以下JVM参数实现：

-Djavax.net.ssl.trustStore=/path/to/truststore
-Djavax.net.ssl.trustStorePassword=changeit

最佳实践

1. 在CI/CD流水线的初始化阶段自动完成证书配置
2. 将证书配置作为测试环境准备的一部分纳入文档
3. 考虑为不同环境维护不同的证书配置策略
4. 在测试用例中加入对Hoverfly模式的验证断言

总结

Hoverfly在模拟模式下理论上不应该连接真实服务，但当SSL/TLS配置不完整时，可能会出现意外的连接行为。通过正确配置测试环境对Hoverfly证书的信任，可以确保模拟模式按预期工作，避免测试中出现不稳定的网络依赖。这个问题也提醒我们，在分布式系统和微服务测试中，证书管理是一个需要特别关注的配置项。