.NET Docker镜像中Sectigo代码签名证书信任问题解析

问题背景

在.NET 8.0 SDK的Docker镜像环境中，开发者遇到了一个与代码签名证书验证相关的问题。具体表现为当尝试验证使用Sectigo证书签名的NuGet包时，系统会抛出NU3042警告，提示"X.509根证书不受信任，因为它不存在于指定的证书包中"。

技术细节

这个问题源于Sectigo最近对其代码签名证书体系的更新。Sectigo现在提供了两种证书链：

1. 由AAA证书颁发机构签名的中间证书
2. 新增的自签名根证书"Sectigo Public Code Signing Root R46"

微软在2024年5月28日的Windows更新中已经将这个新的根证书添加到了受信任的根证书存储中。然而，在.NET 8.0.303版本的Docker镜像中，这个证书尚未包含在SDK的信任证书包中。

影响范围

这个问题主要影响以下场景：

• 使用.NET 8.0 SDK Docker镜像构建项目
• 项目中引用了使用新Sectigo证书签名的NuGet包（如Duende.IdentityServer 7.0.6版本）
• 在Linux环境下运行构建（因为Linux默认启用签名验证）

解决方案

临时解决方案

开发者可以通过手动将新证书添加到SDK的证书包中来临时解决这个问题。证书包位于容器内的以下路径：

/usr/share/dotnet/sdk/8.0.303/trustedroots/codesignctl.pem

需要添加的证书指纹为：ccbbf9e1485af63ce47abf8e9e648c2504fc319d

长期解决方案

.NET团队已经在后续版本中修复了这个问题。新版本的证书包已经包含了这个Sectigo根证书。这个修复将包含在2024年8月13日的下一次常规更新中。

不同操作系统的行为差异

值得注意的是，不同操作系统下.NET对代码签名证书的验证行为有所不同：

1. macOS：验证是可选的，默认使用SDK中的证书包
2. Linux：默认启用验证，优先使用全局代码签名证书存储，如果没有则使用SDK证书包
3. Windows：始终使用全局证书存储

最佳实践建议

对于依赖代码签名验证的项目，建议：

1. 定期更新.NET SDK到最新版本
2. 在容器化环境中，考虑使用最新的基础镜像
3. 对于关键项目，可以维护自定义的证书信任列表
4. 关注证书颁发机构的更新公告，特别是根证书的变更

这个问题展示了现代软件开发中证书信任链管理的重要性，特别是在容器化和跨平台开发场景下。理解不同环境下的验证行为差异有助于开发者更好地诊断和解决类似问题。