『Apisix安全篇』APISIX 加密传输实践：SSL TLS证书的配置与管理实战指南_apisix ssl

作者：木道寻08 | 2024-08-16 01:04:06

踩

apisix ssl

文章目录

一、SSL/TLS的重要性
二、APISIX中的SSL/TLS配置
- 2.1 准备SSL/TLS证书
三、修改监听端口避免请求域名需要带端口
- 3.1 修改端口监听配置
四、SSL 协议
- 4.1 ssl_protocols 配置
五、管理SSL/TLS证书

一、SSL/TLS的重要性

在深入了解APISIX的SSL/TLS配置之前，我们首先要认识到SSL/TLS证书的重要性。SSL（Secure Sockets Layer）和TLS（Transport Layer Security）是确保网络通信安全的加密协议。它们能够为客户端与服务器之间的数据传输提供加密、身份验证和数据完整性保护。在当今这个对网络安全要求日益严格的时代，SSL/TLS证书已经成为了网站安全的标准配置。

二、APISIX中的SSL/TLS配置

APISIX提供了灵活的SSL/TLS配置选项，让我们可以轻松地为API服务启用HTTPS。以下是配置SSL/TLS证书的基本步骤

2.1 准备SSL/TLS证书

首先，需要获取一个SSL/TLS证书。这可以通过向证书颁发机构（CA）申请或使用Let’s Encrypt等免费服务来完成。获取证书后，您将得到一个证书文件（通常为.crt或.pem格式）和一个私钥文件（通常为.key格式）。

cert：SSL 密钥对的公钥，pem 格式
key：SSL 密钥对的私钥，pem 格式
snis：SSL 证书所指定的一个或多个域名，注意在设置这个参数之前，你需要确保这个证书对应的私钥是有效的。

2.2 配置APISIX监听器

2.2.1 单一域名

Admin API配置示例

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
 "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["test.com"]
}'

1
2
3
4
5
6
7
8

2.2.2 泛域名

一个 SSL 证书的域名也可能包含泛域名，如 *.test.com，它代表所有以 test.com 结尾的域名都可以使用该证书。比如 *.test.com，可以匹配 www.test.com、mail.test.com。
以下是在 APISIX 中配置泛域名 SNI 的 SSL 证书的示例。

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
 "cert" : "'"$(cat t/certs/apisix.crt)"'",
     "key": "'"$(cat t/certs/apisix.key)"'",
     "snis": ["\*.test.com"]
}'

1
2
3
4
5
6
7
8

2.2.3 Dashboard配置

在APISIX Dashboard中，您可以按照以下步骤操作：

进入“证书”部分。
点击“创建”按钮。
方式选“上传”

2.3 创建路由

curl http://127.0.0.1:9180/apisix/admin/routes/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d '
{
 "uri": "/get",
 "hosts": ["test.com"],
 "methods": ["GET"],
 "upstream": {
 "type": "roundrobin",
 "nodes": {
 "httpbin.org": 1
 }
 }
}'

1
2
3
4
5
6
7
8
9
10
11
12
13
14

2.4 验证配置

配置完成后，您可以通过发送一个HTTPS请求来验证SSL/TLS是否已成功启用。例如，使用curl命令：

curl --resolve 'www.test.com:9443:127.0.0.1' https://www.test.com:9443/get -k -vvv

1
2

三、修改监听端口避免请求域名需要带端口

在配置APISIX的SSL/TLS支持时，我们通常会涉及到监听端口的设置。默认情况下，APISIX的HTTPS监听器会使用9443、9080端口，而HTTP监听器可能使用80端口，HTTPS使用443。

3.1 修改端口监听配置

 sudo vi /usr/local/apisix/conf/config-default.yaml

1
2

sudo sed -i '/- 9080/a \ - 80' /usr/local/apisix/conf/config-default.yaml

1
2

sudo sed -i '/- port: 9443/a \
 enable\_http2: true \
 - port: 443' /usr/local/apisix/conf/config-default.yaml

1
2
3
4

3.2 重新加载Apisxi配置

sudo apisix reload

1
2

3.3 验证配置

配置完成后，您可以通过发送一个HTTPS请求来验证是否已成功启用。例如，使用curl命令：

curl --resolve 'www.test.com:127.0.0.1' https://www.test.com/get -k -vvv

1
2

3.4 注意事项

在实际部署中，我们可能需要根据环境或需求来修改这些端口。此外，如果你打算在同一台服务器上同时部署APISIX和Nginx，端口冲突是需要特别注意的问题。

四、SSL 协议

APISIX 支持 TLS 协议，还支持动态的为每一个 SNI 指定不同的 TLS 协议版本。
为了安全考虑，APISIX 默认使用的加密套件不支持 TLSv1.1 以及更低的版本。 如果你需要启用 TLSv1.1 协议，请在 config.yaml 的配置项 apisix.ssl.ssl_ciphers 增加 TLSv1.1 协议所支持的加密套件。

4.1 ssl_protocols 配置

4.1.1 静态配置

静态配置中 config.yaml 的 ssl_protocols 参数会作用于 APISIX 全局，但是不能动态修改，仅当匹配的 SSL 资源未设置 ssl_protocols，静态配置才会生效。

apisix:
  ssl:
    ssl\_protocols: TLSv1.2 TLSv1.3 # default TLSv1.2 TLSv1.3

1
2
3
4

4.1.2 动态配置

使用 ssl 资源中 ssl_protocols 字段动态的为每一个 SNI 指定不同的 TLS 协议版本。
指定 test.com 域名使用 TLSv1.2 TLSv1.3 协议版本：

{
    "cert": "$cert",
    "key": "$key",
    "snis": ["test.com"],
    "ssl\_protocols": [
        "TLSv1.2",
        "TLSv1.3"
    ]
}

1
2
3
4
5
6
7
8
9
10