解决 NuGet 还原依赖包时“NU3037: 证书链不受信任”错误的系统性排查与应对策略

1. 问题背景与现象描述

在使用 Visual Studio 或命令行执行 nuget restore 或 dotnet restore 时，开发人员频繁遇到如下错误：

NU3037: The remote certificate is not trusted by the system.

该错误表明 NuGet 客户端无法验证目标源（如 nuget.org）的 SSL/TLS 证书链的有效性。虽然此机制保障了传输安全，但在企业内网、代理环境或 CA 配置异常时，极易触发误报。

核心成因包括：

• 操作系统缺失最新根证书（如 DigiCert、Let's Encrypt）
• 企业中间人代理（MITM Proxy）注入自签名证书
• 防火墙劫持 HTTPS 流量并重签证书
• TLS 协议版本不兼容（如仅支持 TLS 1.0）
• NuGet 源配置未显式信任特定证书

2. 排查流程图：从表象到根源

graph TD
    A[出现 NU3037 错误] --> B{是否所有项目均失败?}
    B -->|是| C[检查系统级证书存储]
    B -->|否| D[检查项目 nuget.config 配置]
    C --> E[运行 certmgr.msc 查看受信任的根CA]
    D --> F[确认 packageSources 是否包含私有源]
    E --> G[是否存在 nuget.org 所需根证书?]
    F --> H[是否启用 requireAuthorization?]
    G -->|否| I[导入缺失的根证书]
    G -->|是| J[测试 openssl s_client -connect api.nuget.org:443]
    I --> K[更新操作系统或手动安装 CA]
    J --> L[观察返回证书链是否完整可信]
    

3. 常见技术场景分析

4. 解决方案层级递进

1. 基础层：更新系统根证书
   • Windows: 使用 wuauclt /detectnow 触发 Windows Update 获取最新 CA 包
   • Linux (Debian/Ubuntu): 执行 sudo apt-get install ca-certificates
   • macOS: 更新系统至最新版本以同步 Apple Trused Root Store
2. 中间层：配置 nuget.config 信任策略

   <configuration>
     <config>
       <add key="trustedSigners" value="microsoft;nuget.org" />
     </config>
     <packageSources>
       <add key="nuget.org" value="https://api.nuget.org/v3/index.json" />
     </packageSources>
     <trustedSigners>
       <author name="Microsoft">
         <certificate fingerprint="3F9001EA83C567DE20265A5A86E35D82B0BF6724" hashAlgorithm="SHA256" />
       </author>
       <repository name="nuget.org" serviceIndex="https://api.nuget.org/v3/index.json">
         <certificate fingerprint="0E5F38F57DC1BCC806D8494F4F90FBCEDD98747A" hashAlgorithm="SHA256" />
       </repository>
     </trustedSigners>
   </configuration>

3. 临时调试：允许不安全连接（仅限测试）

   # 不推荐生产环境使用
   dotnet restore --ignore-failed-sources --disable-parallel

   或设置环境变量：

   NUGET_DISABLE_CERTIFICATE_VERIFICATION=true

4. 协议适配：确保 TLS 1.2 支持 在 .NET Framework 项目中添加：

   System.Net.ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;

   对于全局系统策略，可通过注册表启用：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client "Enabled"=dword:00000001

5. 高级控制：使用 PowerShell 导入企业 CA

   $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\temp\corp-ca.cer")
   $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine")
   $store.Open("ReadWrite")
   $store.Add($cert)
   $store.Close()

5. 安全边界与最佳实践建议

尽管存在多种绕过方式，但必须坚持以下原则：

• 避免全局关闭证书验证（NUGET_DISABLE_CERTIFICATE_VERIFICATION）
• 优先通过 IT 部门统一推送企业 CA 至受信存储
• 在 CI/CD 中使用带预置 CA 的自定义 Docker 镜像
• 定期审计 nuget.config 中的信任签名者列表
• 监控 Let's Encrypt 等公共 CA 的轮换计划（如 DST Root CA X3 到 ISRG Root X1）

对于高安全性要求环境，建议结合 AppLocker 或 Device Guard 限制仅允许签署过的 NuGet 客户端运行。