『Apisix安全篇』APISIX 加密传输实践:SSL/TLS证书的配置与管理实战指南

news2024/11/17 16:46:51


🚀『Apisix系列文章』探索新一代微服务体系下的API管理新范式与最佳实践 【点击此跳转】


📣读完这篇文章里你能收获到

  • 🌟 了解SSL/TLS证书对于网络通信安全的重要性和基础概念。
  • 🔧 掌握在APISIX中配置SSL/TLS证书的基本步骤和方法。
  • 📝 学习如何通过修改监听端口,使HTTPS请求更加便捷。
  • 🛠️ 认识如何灵活管理SSL/TLS协议版本,以适应不同的客户端需求。

文章目录

  • 一、SSL/TLS的重要性
  • 二、APISIX中的SSL/TLS配置
    • 2.1 准备SSL/TLS证书
    • 2.2 配置APISIX监听器
      • 2.2.1 单一域名
      • 2.2.2 泛域名
      • 2.2.3 Dashboard配置
    • 2.3 创建路由
    • 2.4 验证配置
  • 三、修改监听端口避免请求域名需要带端口
    • 3.1 修改端口监听配置
    • 3.2 重新加载Apisxi配置
    • 3.3 验证配置
    • 3.4 注意事项
  • 四、SSL 协议
    • 4.1 ssl_protocols 配置
      • 4.1.1 静态配置
      • 4.1.2 动态配置
    • 4.2 注意事项
    • 4.3 使用示例
      • 4.3.1 指定 TLSv协议
  • 五、管理SSL/TLS证书

一、SSL/TLS的重要性

在深入了解APISIX的SSL/TLS配置之前,我们首先要认识到SSL/TLS证书的重要性。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是确保网络通信安全的加密协议。它们能够为客户端与服务器之间的数据传输提供加密、身份验证和数据完整性保护。在当今这个对网络安全要求日益严格的时代,SSL/TLS证书已经成为了网站安全的标准配置。

二、APISIX中的SSL/TLS配置

APISIX提供了灵活的SSL/TLS配置选项,让我们可以轻松地为API服务启用HTTPS。以下是配置SSL/TLS证书的基本步骤

2.1 准备SSL/TLS证书

首先,需要获取一个SSL/TLS证书。这可以通过向证书颁发机构(CA)申请或使用Let’s Encrypt等免费服务来完成。获取证书后,您将得到一个证书文件(通常为.crt或.pem格式)和一个私钥文件(通常为.key格式)。

  • cert:SSL 密钥对的公钥,pem 格式
  • key:SSL 密钥对的私钥,pem 格式
  • snis:SSL 证书所指定的一个或多个域名,注意在设置这个参数之前,你需要确保这个证书对应的私钥是有效的。

2.2 配置APISIX监听器

2.2.1 单一域名

  • Admin API配置示例
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["test.com"]
}'

2.2.2 泛域名

一个 SSL 证书的域名也可能包含泛域名,如 *.test.com,它代表所有以 test.com 结尾的域名都可以使用该证书。比如 *.test.com,可以匹配 www.test.com、mail.test.com。
以下是在 APISIX 中配置泛域名 SNI 的 SSL 证书的示例。

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["*.test.com"]
}'

2.2.3 Dashboard配置

在APISIX Dashboard中,您可以按照以下步骤操作:

  1. 进入“证书”部分。
  2. 点击“创建”按钮。
  3. 方式选“上传”

image.png

2.3 创建路由

curl http://127.0.0.1:9180/apisix/admin/routes/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d '
{
    "uri": "/get",
    "hosts": ["test.com"],
    "methods": ["GET"],
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "httpbin.org": 1
        }
    }
}'

2.4 验证配置

配置完成后,您可以通过发送一个HTTPS请求来验证SSL/TLS是否已成功启用。例如,使用curl命令:

curl --resolve 'www.test.com:9443:127.0.0.1' https://www.test.com:9443/get -k -vvv

三、修改监听端口避免请求域名需要带端口

在配置APISIX的SSL/TLS支持时,我们通常会涉及到监听端口的设置。默认情况下,APISIX的HTTPS监听器会使用9443、9080端口,而HTTP监听器可能使用80端口,HTTPS使用443。

3.1 修改端口监听配置

 sudo vi /usr/local/apisix/conf/config-default.yaml
sudo sed -i '/- 9080/a \    - 80' /usr/local/apisix/conf/config-default.yaml

image.png

sudo sed -i '/- port: 9443/a \
        enable_http2: true \
      - port: 443' /usr/local/apisix/conf/config-default.yaml

image.png

3.2 重新加载Apisxi配置

sudo apisix reload

3.3 验证配置

配置完成后,您可以通过发送一个HTTPS请求来验证是否已成功启用。例如,使用curl命令:

curl --resolve 'www.test.com:127.0.0.1' https://www.test.com/get -k -vvv

3.4 注意事项

在实际部署中,我们可能需要根据环境或需求来修改这些端口。此外,如果你打算在同一台服务器上同时部署APISIX和Nginx,端口冲突是需要特别注意的问题。

四、SSL 协议

APISIX 支持 TLS 协议,还支持动态的为每一个 SNI 指定不同的 TLS 协议版本。
为了安全考虑,APISIX 默认使用的加密套件不支持 TLSv1.1 以及更低的版本。 如果你需要启用 TLSv1.1 协议,请在 config.yaml 的配置项 apisix.ssl.ssl_ciphers 增加 TLSv1.1 协议所支持的加密套件。

4.1 ssl_protocols 配置

4.1.1 静态配置

静态配置中 config.yaml 的 ssl_protocols 参数会作用于 APISIX 全局,但是不能动态修改,仅当匹配的 SSL 资源未设置 ssl_protocols,静态配置才会生效。

apisix:
  ssl:
    ssl_protocols: TLSv1.2 TLSv1.3 # default TLSv1.2 TLSv1.3

4.1.2 动态配置

使用 ssl 资源中 ssl_protocols 字段动态的为每一个 SNI 指定不同的 TLS 协议版本。
指定 test.com 域名使用 TLSv1.2 TLSv1.3 协议版本:

{
    "cert": "$cert",
    "key": "$key",
    "snis": ["test.com"],
    "ssl_protocols": [
        "TLSv1.2",
        "TLSv1.3"
    ]
}

4.2 注意事项

  • 动态配置优先级比静态配置更高,当 ssl 资源配置项 ssl_protocols 不为空时 静态配置将会被覆盖。
  • 静态配置作用于全局需要重启 apisix 才能生效。
  • 动态配置可细粒度的控制每个 SNI 的 TLS 协议版本,并且能够动态修改,相比于静态配置更加灵活。

4.3 使用示例

4.3.1 指定 TLSv协议

存在一些老旧的客户端,仍然采用较低级别的 TLSv1.1 协议版本,而新的产品则使用较高安全级别的 TLS 协议版本。如果让新产品支持 TLSv1.1 可能会带来一些安全隐患。为了保证 API 的安全性,我们需要在协议版本之间进行灵活转换。 例如:test.com 是老旧客户端所使用的域名,需要将其配置为 TLSv1.1 而 test2.com 属于新产品,同时支持了 TLSv1.2,TLSv1.3 协议。

  1. 为 test.com 域名指定 TLSv1.1 协议版本。
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat server.crt)"'",
     "key": "'"$(cat server.key)"'",
     "snis": ["test.com"],
     "ssl_protocols": [
         "TLSv1.1"
     ]
}'
  1. 为test2.com域名指定TLSv1.2TLSv1.3协议版本。
curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
     "cert" : "'"$(cat server2.crt)"'",
     "key": "'"$(cat server2.key)"'",
     "snis": ["test2.com"],
     "ssl_protocols": [
         "TLSv1.2"
         "TLSv1.3"
     ]
}'
  1. 访问验证,使用 TLSv1.3 访问 test.com 失败:
$ curl --tls-max 1.3 --tlsv1.3  https://test.com:9443 -v -k -I

五、管理SSL/TLS证书

在APISIX中管理SSL/TLS证书同样简单。无论是证书的更新、续期还是吊销,都可以通过Admin API或Dashboard来完成。

  • 更新证书:当证书到期或需要更换时,您可以通过Admin API或Dashboard上传新的证书文件和私钥。
  • 续期证书:对于使用自动续期服务的证书,如Let’s Encrypt,您无需手动续期。对于其他证书,您需要在到期前联系CA进行续期。
  • 吊销证书:如果证书私钥泄露,您应立即吊销证书,并在APISIX中更新为新的证书。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1550438.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

嵌入式开发——基础电路知识

1. 电路知识 1.1. 驱动能力 IC是数字逻辑芯片,其输出的是逻辑电平。逻辑电平0表示输出电压低于阈值电压,逻辑1表示输出电压高于阈值电压。负载则是被驱动的电路或元件,负载大小则指负载的电阻大小。 驱动能力主要表现在几个方面&#xff1…

centos2anolis

我的centos7原地升级到anolis7记录 注意:如果是桌面版请先卸载firefox,否则so文件冲突。 参考: CentOS 7和8Linux系统迁移到国产Linux龙蜥Anolis OS 8手册_disable pam_pkcs11 module in pam configuration-CSDN博客 关于 CentOS 迁移龙蜥…

【pytest、playwright】allure报告生成视频和图片

目录 1、修改插件pytest_playwright 2、conftest.py配置 3、修改pytest.ini文件 4、运行case 5、注意事项 1、修改插件pytest_playwright pytest_playwright.py内容如下: # Copyright (c) Microsoft Corporation. # # Licensed under the Apache License, Ver…

Prompt Engineering的4 种方法

此为观看视频 4 Methods of Prompt Engineering 后的笔记。 从通用模型到专用模型,fine tuning(微调)和prompt engineering(提示工程)是2种非常重要的方法。本文深入探讨了prompt engineering的4种方法。 首先&#…

Trello国内替代工具有哪些?分享5款

盘点5款类似Trello的本地部署项目管理工具:1.PingCode;2.Worktile;3.Teambition;4.redmine;5.TAIga.io。 Trello是一款杰出的协作与工作管理应用,专为追踪团队项目、凸显当前活动任务、分配责任人&#xff…

爬虫(Web Crawler)介绍与应用

## 摘要 本文将介绍什么是爬虫(Web Crawler)以及其在信息抓取、数据分析等领域的应用。我们将深入探讨爬虫的工作原理、设计特点以及开发过程中需要考虑的关键问题。 ## 一、什么是爬虫 爬虫是一种自动化程序或脚本,用于从互联网上抓取信息…

计算机组成原理-6-计算机的运算方法

6. 计算机的运算方法 文章目录 6. 计算机的运算方法6.1 机器数的表示6.1.1 无符号数和有符号数6.1.2 有符号数-原码6.1.3 有符号数-补码6.1.4 有符号数-反码6.1.5 有符号数-移码6.1.6 原码、补码、反码的比较 6.2 数的定点表示和浮点表示6.2.1 定点表示6.2.2 浮点表示6.2.3 ΔI…

Lilishop商城(windows)本地部署【docker版】

Lilishop商城(windows)本地部署【docker版】 部署官方文档:LILISHOP-开发者中心 https://gitee.com/beijing_hongye_huicheng/lilishop 本地安装docker https://docs.pickmall.cn/deploy/win/deploy.html 命令端页面 启动后docker界面 注…

保障校园网络安全用堡垒机的几个原因分析

校园,人人都熟悉的地方,梦想知识开始的地方。在互联网数字化快速发展的今天,网络安全的学习环境是非常必要的。所以采购保障校园网络安全工具是必要的。那为什么一定要用堡垒机呢?这里我们一起来简单分析一下原因。 保障校园网络…

CleanMyMac X2024专业免费的国产Mac笔记本清理软件

非常高兴有机会向大家介绍CleanMyMac X 2024这款专业的Mac清理软件。它以其强大的清理能力、系统优化效果、出色的用户体验以及高度的安全性,在Mac清理软件市场中独树一帜。 CleanMyMac X2024全新版下载如下: https://wm.makeding.com/iclk/?zoneid49983 一、主要…

Docker搭建LNMP环境实战(03):VMware安装CentOS

Docker搭建LNMP环境实战(03):VMware安装CentOS 1、创建新的虚拟机,选择CentOS7镜像文件,并启动安装 启动VMware,创建新的虚拟机 图1 选择典型安装即可 选用最大最全的CentOS镜像文件:CentOS-7…

深度好文:解决Ubuntu 18.04安装nvidia显卡驱动,导致内核不匹配:无需重装系统修复内核

深度好文:解决Ubuntu 18.04安装nvidia显卡驱动,导致内核不匹配:无需重装系统修复内核 目录 一、问题描述二、尝试修复三、安装Nvidia驱动和CUDA并配置cuDNN四、总结 一、问题描述 昨天打算更新一下Ubuntu 18.04的显卡驱动,以支持…

element-ui checkbox 组件源码分享

简单分享 checkbox 组件,主要从以下三个方面来分享: 1、组件的页面结构 2、组件的属性 3、组件的方法 一、组件的页面结构 二、组件的属性 2.1 value / v-model 属性,绑定的值,类型 string / number / boolean,无…

存储的过程

一、存储过程 1.1 概述 存储过程可以轻松而高效的去完成这个需求,有点类似shell脚本里的函数 1.2 特点 存储过程在数据库中创建并保存,它不仅仅是 SQL 语句的集合,还可以加入一些特殊的控制结构,也可以控制数据的访问方式。存储过…

web前端面试题----->VUE

Vue的数据双向绑定是通过Vue的响应式系统实现的。具体原理: 1. Vue会在初始化时对数据对象进行遍历,使用Object.defineProperty方法将每个属性转化为getter、setter。这样在访问或修改数据时,Vue能够监听到数据的变化。 2. 当数据发生变化时…

【R语言从0到精通】-1-下载R语言与R最基础内容

在本科,没有人教的情况下,艰难的自学了R语言,因此我想能出一个R语言系列教程,在帮助大家的同时,温故而知新,特别如果你是生物或者医学从业者,那本教程正好合适,因为我也是生物人&…

Microsoft .NET 应用程序性能监控

什么是 .NET监控 Microsoft .NET 监视在确保可以开发和部署应用程序而不必面对性能滞后或中断方面发挥着重要作用。它使用警报、增长趋势报告和数据可视化技术来帮助管理员确保 Microsoft .NET 平台的全天候可用性。Microsoft.NET 性能监视是一种检测性能异常的先发制人方法&a…

2024年腾讯云4核8g服务器并发数、优惠价格、支持多少人在线?

腾讯云4核8G服务器价格:轻量4核8G12M优惠价格646元15个月、CVM S5服务器4核8G配置1437元买1年送3个月。腾讯云4核8G服务器支持多少人同时在线?支持30个并发数,可容纳日均1万IP人数访问。腾讯云百科txybk.com整理4核8G服务器支持多少人同时在线…

动手学机器学习笔记

初探机器学习 “两只手”代表的是人工智能可以做的两大类任务,即预测与决策。 “四条腿”则代表支撑人工智能的四大类科学技术,包括搜索、推理、学习和博弈。 非参数化模型(nonparametric model):与参数化模型相反&…

四川易点慧电子商务抖音小店:安全购物,无忧体验

在当今这个电子商务飞速发展的时代,线上购物已成为人们日常生活中不可或缺的一部分。然而,随着网络交易的日益频繁,安全问题也逐渐成为了消费者最为关注的问题之一。四川易点慧电子商务抖音小店深知消费者的担忧,始终将安全保障放…