GitHub Copilot报错SSL Handshake Failed:针对公司防火墙的穿透方案
GitHub Copilot内网SSL握手失败主因是企业防火墙劫持TLS证书,可通过curl测试确认;解决方法包括临时信任公司根证书(推荐)或禁用SSL验证(仅调试),并需正确配置支持443端口CONNECT的HTTP代理。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜
GitHub Copilot在公司内网环境下提示“SSL Handshake Failed”,说明客户端与copilot-proxy.githubusercontent.com等域名的TLS握手被中断,常见于企业防火墙拦截自签名证书、强制中间人解密或阻断SNI匹配域名。
确认是否为防火墙/代理导致的SSL握手失败
打开终端,执行以下命令测试基础连通性与证书链有效性:
curl --verbose https://copilot-proxy.githubusercontent.com/_ping
若返回HTTP/2 200但日志中出现* SSL certificate problem: unable to get local issuer certificate或* TLSv1.3 (IN), TLS handshake, Certificate (11)后直接断开,则基本可判定是证书验证环节被防火墙劫持;若卡在Trying ...或超时,则更可能是DNS污染或端口封锁。
注意:该命令不走系统代理,能排除环境变量干扰,是判断底层网络是否可信的第一步。
绕过企业中间人证书(仅限可信内网)
方法一:临时信任公司根证书(需IT部门提供.crt文件)
将IT部门提供的CA根证书(如Corp-Root-CA.crt)保存到本地,例如/opt/corp-ca.crt;
设置环境变量告知Copilot使用该证书包进行校验:
Linux/macOS:运行export NODE_EXTRA_CA_CERTS="/opt/corp-ca.crt"后再启动VS Code;
Windows(PowerShell):运行$env:NODE_EXTRA_CA_CERTS="C:\corp-ca.crt"后再启动VS Code。
【NODE_EXTRA_CA_CERTS必须在VS Code启动前设置,重启编辑器才生效】
方法二:禁用证书验证(仅调试用,不推荐长期启用)
在VS Code设置中搜索github copilot ssl,勾选Github Copilot > Experimental: Disable SSL Verification;
或在VS Code启动时添加命令行参数:code --disable-gpu --user-data-dir=/tmp/vscode-copilot-test --github-copilot-disable-ssl-verification。
⚠️ 此操作会完全跳过HTTPS证书校验,使Copilot流量暴露于中间人攻击风险,切勿在非受控网络中使用。
配置HTTP代理并注入可信证书
第一步:确认代理URL格式正确
公司代理地址必须以http://开头(不是https://),例如http://proxy.corp.local:8080;
第二步:将代理写入环境变量
在用户shell配置文件(如~/.zshrc)中追加:export HTTPS_PROXY="http://proxy.corp.local:8080"export HTTP_PROXY="http://proxy.corp.local:8080";
第三步:确保代理支持CONNECT隧道且未过滤copilot-proxy.githubusercontent.com:443
某些老旧HTTP代理默认禁止CONNECT方法或限制目标端口为80,需联系IT开通对443端口的CONNECT白名单,否则Copilot无法建立TLS隧道,必然触发SSL Handshake Failed;
第四步:重启终端并验证代理生效
执行echo $HTTPS_PROXY确认输出非空,再运行curl -x "$HTTPS_PROXY" --verbose https://copilot-proxy.githubusercontent.com/_ping,观察是否返回200且无证书错误。