针对你在Mac Sierra上用rbenv安装Ruby，访问内部Nexus仓库遇到的SSL证书信任问题，我来逐个解答你的疑问：

1. Ruby（包括Gem工具）使用哪些SSL证书？ #

Ruby的SSL操作完全依赖OpenSSL库，Gem作为Ruby编写的工具，和Ruby共享这套证书逻辑：

• 优先级最高的是**SSL_CERT_FILE环境变量**：如果设置了这个变量，Ruby会直接加载指定的证书文件；
• 其次是编译OpenSSL时指定的默认CA证书文件：用rbenv/ruby-build安装的Ruby，默认依赖系统OpenSSL，Mac原生OpenSSL的默认CA证书路径一般是/etc/ssl/cert.pem；如果是Homebrew安装的OpenSSL，路径可能是/usr/local/etc/openssl/cert.pem；
• 注意：原生Ruby/OpenSSL默认不会自动读取系统钥匙串的证书，需要额外配置或工具才能实现。

简单来说：默认情况下，Ruby/Gem会使用系统OpenSSL配置的CA证书集合，除非你通过环境变量指定了单独的证书文件。

2. 如何将内部根证书添加到受信任CA集合中？ #

结合你的场景，推荐几种能实现透明生效的方案，按优先级排序：

方案一：系统全局配置（所有工具通用） #

把内部根证书追加到系统OpenSSL的CA证书文件里，这样不仅Ruby/Gem，curl、git等所有依赖OpenSSL的工具都会自动信任这个根证书：

1. 找到系统的CA证书文件，比如/etc/ssl/cert.pem；
2. 用命令追加你的根证书（需要sudo权限）：

   sudo cat /path/to/your/root_cert.pem >> /etc/ssl/cert.pem
   

3. 验证：执行gem sources --add https://our.repository.com/bla/bla，应该不会再出现证书信任报错。

方案二：针对rbenv的Ruby版本单独配置 #

如果不想修改系统全局文件，可以给每个rbenv管理的Ruby版本单独配置CA证书：

1. 进入对应Ruby版本的配置目录（没有就创建）：

   mkdir -p ~/.rbenv/versions/<你的Ruby版本号>/etc/openssl
   

2. 复制系统的CA证书文件到这个目录，再追加你的根证书：

   cp /etc/ssl/cert.pem ~/.rbenv/versions/<你的Ruby版本号>/etc/openssl/
   cat /path/to/your/root_cert.pem >> ~/.rbenv/versions/<你的Ruby版本号>/etc/openssl/cert.pem
   

3. 让Ruby默认读取这个文件：在~/.rbenvrc（没有就新建）里添加：

   export SSL_CERT_FILE=~/.rbenv/versions/<你的Ruby版本号>/etc/openssl/cert.pem
   

   这样每次切换到这个Ruby版本时，环境变量会自动生效。

方案三：导入系统钥匙串（辅助方案） #

虽然原生Ruby/OpenSSL不会自动读取钥匙串，但导入钥匙串可以让系统层面的工具（比如Safari）信任这个证书，同时配合方案一/二使用：

1. 双击你的根证书文件，选择“登录”或“系统”钥匙串；
2. 在钥匙串访问里找到这个证书，右键选择“显示简介”；
3. 在“信任”选项卡中，把“使用此证书时”设置为“始终信任”。

3. 最佳实践和相关文档 #

最佳实践 #

• 优先系统全局配置：一次配置，所有依赖OpenSSL的工具都能受益，团队成员不用单独给每个工具设置证书；
• 自动化证书管理：如果团队有多个内部根证书或需要定期更新，可编写脚本自动追加证书到系统CA bundle，避免手动操作出错；
• 敏感证书妥善保管：内部根证书是核心安全资产，只分发给授权人员，不要上传到公共仓库或共享目录；
• 统一Ruby环境配置：用rbenv的团队可以共享~/.rbenvrc配置，确保所有人的Ruby都指向同一个信任的CA证书文件；
• 验证配置有效性：每次配置后，用gem sources -l和gem install命令测试是否能正常访问内部仓库。

相关文档 #

• Ruby官方文档：OpenSSL::SSL模块的说明，详细讲解了证书验证逻辑和配置选项；
• OpenSSL官方文档：关于SSL_CERT_FILE、SSL_CERT_DIR环境变量的用法，以及CA证书集合的配置规范；
• rbenv官方文档：关于~/.rbenvrc和环境变量配置的内容，帮助统一管理不同Ruby版本的配置。

内容的提问来源于stack exchange，提问作者rewolf