一、Linux环境下.NET Core默认读取的根证书路径 #

.NET Core在Linux上优先读取系统级信任根证书，常见路径包括：

• /etc/ssl/certs/ca-certificates.crt（Debian/Ubuntu系列发行版）
• /etc/pki/tls/certs/ca-bundle.crt（RHEL/CentOS系列）
• /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem（RHEL/CentOS 7及以上的统一证书路径）
• /etc/pki/tls/certs/ca-certificates.crt（部分云节点的自定义路径，即你当前挂载的路径）

二、挂载证书未被识别的原因 #

.NET Core在Linux上依赖OpenSSL的证书存储机制，或通过环境变量指定路径加载证书。如果默认路径与你挂载的路径不匹配，就会出现证书不被识别的情况。

三、解决方法 #

1. 强制指定证书路径（推荐）
   在Kubernetes Deployment的环境变量中添加SSL_CERT_FILE，指向你挂载的证书文件：

env:
  - name: SSL_CERT_FILE
    value: "/etc/pki/tls/certs/ca-certificates.crt"

该环境变量会覆盖.NET Core的默认证书路径，强制它使用你指定的证书文件。

2. 验证证书文件有效性
   进入服务容器，执行以下命令验证证书是否能正确验证目标服务：

openssl s_client -connect <目标服务域名或IP>:<端口> -CAfile /etc/pki/tls/certs/ca-certificates.crt

如果返回Verify return code: 0 (ok)，说明证书本身无问题，问题出在.NET Core的加载逻辑上。

3. 检查.NET Core版本
   旧版本的.NET Core（如2.x）对Linux证书路径的支持存在局限性，建议升级到.NET Core 3.1或更高版本（.NET 5+），这些版本优化了证书加载逻辑。

4. 代码中手动加载证书
   如果环境变量方式无效，可在代码中手动加载证书并验证：

using System.Security.Cryptography.X509Certificates;
using System.Net.Http;

var handler = new HttpClientHandler();
var rootCerts = new X509Certificate2Collection();
rootCerts.ImportFromPemFile("/etc/pki/tls/certs/ca-certificates.crt");

handler.ServerCertificateCustomValidationCallback = (sender, cert, chain, errors) =>
{
    chain.ChainPolicy.ExtraStore.AddRange(rootCerts);
    chain.Build((X509Certificate2)cert);
    return chain.ChainStatus.All(s => s.Status == X509ChainStatusFlags.NoError);
};

var httpClient = new HttpClient(handler);
// 使用httpClient调用目标服务

内容的提问来源于stack exchange，提问作者Dave L