Zoraxy项目ACME工具证书获取失败问题分析与解决方案

问题背景

Zoraxy是一个开源的反向代理和负载均衡工具，近期用户报告在使用其ACME工具获取Let's Encrypt证书时出现故障。具体表现为当尝试通过DNS挑战方式获取通配符证书时，系统报错"tls: failed to verify certificate: x509: certificate signed by unknown authority"。

问题现象

用户在Docker环境中运行最新版Zoraxy时发现：

1. ACME工具无法成功获取Let's Encrypt证书
2. 测试邮件发送功能时也出现相同的TLS证书验证错误
3. 错误日志显示系统无法验证Let's Encrypt API端点的证书

根本原因分析

经过调查，问题源于Docker镜像中的CA证书包过时，导致无法验证Let's Encrypt的新证书链。具体来说：

1. Let's Encrypt在2024年9月更新了其证书链
2. 新证书链依赖于ISRG Root X1根证书
3. Zoraxy 3.1.1r2 Docker镜像中的CA证书包未包含最新根证书
4. 这导致系统无法验证acme-v02.api.letsencrypt.org的TLS证书

影响范围

该问题影响所有使用以下配置的用户：

• 运行Zoraxy 3.1.1r2及以上版本的Docker容器
• 需要与外部TLS服务交互的功能（ACME证书获取、邮件发送等）

临时解决方案

用户可以通过以下步骤临时解决问题：

1. 进入运行中的Zoraxy容器
2. 执行命令更新CA证书包：

   apt install ca-certificates
   update-ca-certificates
   

官方修复方案

项目维护者已提交修复代码，主要变更包括：

1. 更新Dockerfile以确保构建时包含最新的CA证书包
2. 优化容器启动流程，自动更新证书

最佳实践建议

为避免类似问题，建议：

1. 定期更新Docker镜像
2. 在容器启动脚本中加入证书更新步骤
3. 对于生产环境，考虑使用自定义基础镜像并定期更新CA证书

总结

Zoraxy项目中的ACME工具证书获取失败问题凸显了容器环境中证书管理的重要性。通过理解TLS证书链验证机制和容器环境特点，我们可以更好地预防和解决此类问题。项目团队已迅速响应并修复了此问题，体现了开源社区的高效协作。