『Apisix安全篇』APISIX 加密传输实践:SSL/TLS证书的配置与管理实战指南


📣读完这篇文章里你能收获到

  • 🌟 了解SSL/TLS证书对于网络通信安全的重要性和基础概念。
  • 🔧 掌握在APISIX中配置SSL/TLS证书的基本步骤和方法。
  • 📝 学习如何通过修改监听端口,使HTTPS请求更加便捷。
  • 🛠️ 认识如何灵活管理SSL/TLS协议版本,以适应不同的客户端需求。

🚀 『Apisix系列汇总』探索新一代微服务体系下的API管理新范式与最佳实践 【点击此跳转】


文章目录

  • 一、SSL/TLS的重要性
  • 二、APISIX中的SSL/TLS配置
    • [2.1 准备SSL/TLS证书](#2.1 准备SSL/TLS证书)
    • [2.2 配置APISIX监听器](#2.2 配置APISIX监听器)
      • [2.2.1 单一域名](#2.2.1 单一域名)
      • [2.2.2 泛域名](#2.2.2 泛域名)
      • [2.2.3 Dashboard配置](#2.2.3 Dashboard配置)
    • [2.3 创建路由](#2.3 创建路由)
    • [2.4 验证配置](#2.4 验证配置)
  • 三、修改监听端口避免请求域名需要带端口
    • [3.1 修改端口监听配置](#3.1 修改端口监听配置)
    • [3.2 重新加载Apisxi配置](#3.2 重新加载Apisxi配置)
    • [3.3 验证配置](#3.3 验证配置)
    • [3.4 注意事项](#3.4 注意事项)
  • [四、SSL 协议](#四、SSL 协议)
    • [4.1 ssl_protocols 配置](#4.1 ssl_protocols 配置)
      • [4.1.1 静态配置](#4.1.1 静态配置)
      • [4.1.2 动态配置](#4.1.2 动态配置)
    • [4.2 注意事项](#4.2 注意事项)
    • [4.3 使用示例](#4.3 使用示例)
      • [4.3.1 指定 TLSv协议](#4.3.1 指定 TLSv协议)
  • 五、管理SSL/TLS证书

一、SSL/TLS的重要性

在深入了解APISIX的SSL/TLS配置之前,我们首先要认识到SSL/TLS证书的重要性。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是确保网络通信安全的加密协议。它们能够为客户端与服务器之间的数据传输提供加密、身份验证和数据完整性保护。在当今这个对网络安全要求日益严格的时代,SSL/TLS证书已经成为了网站安全的标准配置。

二、APISIX中的SSL/TLS配置

APISIX提供了灵活的SSL/TLS配置选项,让我们可以轻松地为API服务启用HTTPS。以下是配置SSL/TLS证书的基本步骤

2.1 准备SSL/TLS证书

首先,需要获取一个SSL/TLS证书。这可以通过向证书颁发机构(CA)申请或使用Let's Encrypt等免费服务来完成。获取证书后,您将得到一个证书文件(通常为.crt或.pem格式)和一个私钥文件(通常为.key格式)。

  • cert:SSL 密钥对的公钥,pem 格式
  • key:SSL 密钥对的私钥,pem 格式
  • snis:SSL 证书所指定的一个或多个域名,注意在设置这个参数之前,你需要确保这个证书对应的私钥是有效的。

2.2 配置APISIX监听器

2.2.1 单一域名

  • Admin API配置示例
shell 复制代码
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["test.com"]
}'

2.2.2 泛域名

一个 SSL 证书的域名也可能包含泛域名,如 *.test.com,它代表所有以 test.com 结尾的域名都可以使用该证书。比如 *.test.com,可以匹配 www.test.commail.test.com

以下是在 APISIX 中配置泛域名 SNI 的 SSL 证书的示例。

shell 复制代码
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["*.test.com"]
}'

2.2.3 Dashboard配置

在APISIX Dashboard中,您可以按照以下步骤操作:

  1. 进入"证书"部分。
  2. 点击"创建"按钮。
  3. 方式选"上传"

2.3 创建路由

shell 复制代码
curl http://127.0.0.1:9180/apisix/admin/routes/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d '
{
    "uri": "/get",
    "hosts": ["test.com"],
    "methods": ["GET"],
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "httpbin.org": 1
        }
    }
}'

2.4 验证配置

配置完成后,您可以通过发送一个HTTPS请求来验证SSL/TLS是否已成功启用。例如,使用curl命令:

shell 复制代码
curl --resolve 'www.test.com:9443:127.0.0.1' https://www.test.com:9443/get -k -vvv

三、修改监听端口避免请求域名需要带端口

在配置APISIX的SSL/TLS支持时,我们通常会涉及到监听端口的设置。默认情况下,APISIX的HTTPS监听器会使用9443、9080端口,而HTTP监听器可能使用80端口,HTTPS使用443。

3.1 修改端口监听配置

shell 复制代码
 sudo vi /usr/local/apisix/conf/config-default.yaml
shell 复制代码
sudo sed -i '/- 9080/a \    - 80' /usr/local/apisix/conf/config-default.yaml
shell 复制代码
sudo sed -i '/- port: 9443/a \
        enable_http2: true \
      - port: 443' /usr/local/apisix/conf/config-default.yaml

3.2 重新加载Apisxi配置

shell 复制代码
sudo apisix reload

3.3 验证配置

配置完成后,您可以通过发送一个HTTPS请求来验证是否已成功启用。例如,使用curl命令:

shell 复制代码
curl --resolve 'www.test.com:127.0.0.1' https://www.test.com/get -k -vvv

3.4 注意事项

在实际部署中,我们可能需要根据环境或需求来修改这些端口。此外,如果你打算在同一台服务器上同时部署APISIX和Nginx,端口冲突是需要特别注意的问题。

四、SSL 协议

APISIX 支持 TLS 协议,还支持动态的为每一个 SNI 指定不同的 TLS 协议版本。
为了安全考虑,APISIX 默认使用的加密套件不支持 TLSv1.1 以及更低的版本。 如果你需要启用 TLSv1.1 协议,请在 config.yaml 的配置项 apisix.ssl.ssl_ciphers 增加 TLSv1.1 协议所支持的加密套件。

4.1 ssl_protocols 配置

4.1.1 静态配置

静态配置中 config.yaml 的 ssl_protocols 参数会作用于 APISIX 全局,但是不能动态修改,仅当匹配的 SSL 资源未设置 ssl_protocols,静态配置才会生效。

yaml 复制代码
apisix:
  ssl:
    ssl_protocols: TLSv1.2 TLSv1.3 # default TLSv1.2 TLSv1.3

4.1.2 动态配置

使用 ssl 资源中 ssl_protocols 字段动态的为每一个 SNI 指定不同的 TLS 协议版本。

指定 test.com 域名使用 TLSv1.2 TLSv1.3 协议版本:

bash 复制代码
{
    "cert": "$cert",
    "key": "$key",
    "snis": ["test.com"],
    "ssl_protocols": [
        "TLSv1.2",
        "TLSv1.3"
    ]
}

4.2 注意事项

  • 动态配置优先级比静态配置更高,当 ssl 资源配置项 ssl_protocols 不为空时 静态配置将会被覆盖。
  • 静态配置作用于全局需要重启 apisix 才能生效。
  • 动态配置可细粒度的控制每个 SNI 的 TLS 协议版本,并且能够动态修改,相比于静态配置更加灵活。

4.3 使用示例

4.3.1 指定 TLSv协议

存在一些老旧的客户端,仍然采用较低级别的 TLSv1.1 协议版本,而新的产品则使用较高安全级别的 TLS 协议版本。如果让新产品支持 TLSv1.1 可能会带来一些安全隐患。为了保证 API 的安全性,我们需要在协议版本之间进行灵活转换。 例如:test.com 是老旧客户端所使用的域名,需要将其配置为 TLSv1.1 而 test2.com 属于新产品,同时支持了 TLSv1.2,TLSv1.3 协议。

  1. test.com 域名指定 TLSv1.1 协议版本。
bash 复制代码
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat server.crt)"'",
     "key": "'"$(cat server.key)"'",
     "snis": ["test.com"],
     "ssl_protocols": [
         "TLSv1.1"
     ]
}'
  1. 为test2.com域名指定TLSv1.2TLSv1.3协议版本。
bash 复制代码
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat server2.crt)"'",
     "key": "'"$(cat server2.key)"'",
     "snis": ["test2.com"],
     "ssl_protocols": [
         "TLSv1.2"
         "TLSv1.3"
     ]
}'
  1. 访问验证,使用 TLSv1.3 访问 test.com 失败:
shell 复制代码
$ curl --tls-max 1.3 --tlsv1.3  https://test.com:9443 -v -k -I

五、管理SSL/TLS证书

在APISIX中管理SSL/TLS证书同样简单。无论是证书的更新、续期还是吊销,都可以通过Admin API或Dashboard来完成。

  • 更新证书:当证书到期或需要更换时,您可以通过Admin API或Dashboard上传新的证书文件和私钥。
  • 续期证书:对于使用自动续期服务的证书,如Let's Encrypt,您无需手动续期。对于其他证书,您需要在到期前联系CA进行续期。
  • 吊销证书:如果证书私钥泄露,您应立即吊销证书,并在APISIX中更新为新的证书。
相关推荐
jjyangyou3 小时前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan3 小时前
大语言模型安全威胁
人工智能·安全·语言模型
马船长3 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全
hikktn11 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon13 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon13 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔13 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
棱角~~16 小时前
盘点和嗨格式一样好用的10款数据恢复!!
数据库·经验分享·安全·电脑·学习方法
NETFARMER运营坛16 小时前
如何优化 B2B 转化率?这些步骤你不可不知
大数据·安全·阿里云·ai·ai写作
安徽京准16 小时前
京准时钟:无人机卫星信号安全防护隔离装置
安全·无人机·信号安全防护装置·卫星安全隔离装置·北斗授时安全隔离·北斗对时防护隔离装置