TLS 双向认证

    客户端需要向服务器提供证书,服务器将检查该客户端证书是否由受信的 CA 签名,并决定是否响应其请求。

    如何配置

    1. 生成自签证书对,包括 CA、server、client 证书对。

    2. 修改 中的配置项:

    conf/config.yaml

    1. 执行命令,使配置生效:
    1. apisix init
    2. apisix reload

    需要将证书文件的路径与域名按实际情况替换。

    • 注意:提供的 CA 证书需要与服务端的相同。*
    1. curl --cacert /data/certs/mtls_ca.crt --key /data/certs/mtls_client.key --cert /data/certs/mtls_client.crt  https://admin.apisix.dev:9180/apisix/admin/routes -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1'

    如何配置

    你需要构建 APISIX-Base,并且需要在配置文件中设定 etcd.tls 来使 ETCD 的双向认证功能正常工作。

    如果 APISIX 不信任 etcd server 使用的 CA 证书,我们需要设置 CA 证书。

    conf/config.yaml

    1. apisix:
    2.   ssl:
    3.     ssl_trusted_certificate: /path/to/certs/ca-certificates.crt       # path of CA certificate used by the etcd server

    双向认证是一种密码学安全的验证客户端身份的手段。当你需要加密并保护流量的双向安全时很有用。

    • 注意:双向认证只发生在 HTTPS 中。如果你的路由也可以通过 HTTP 访问,你应该在 HTTP 中添加额外的保护,或者禁止通过 HTTP 访问。*

    如何配置

    我们提供了一个演示教程,详细地讲解了如何配置客户端和 APISIX 之间的 mTLS。

    在配置 ssl 资源时,同时需要配置 client.caclient.depth 参数,分别代表为客户端证书签名的 CA 列表,和证书链的最大深度。可参考:。

    下面是一个可用于生成带双向认证配置的 SSL 资源的 Python 脚本示例。如果需要,可修改 API 地址、API Key 和 SSL 资源的 ID。

    1. #!/usr/bin/env python
    2. # coding: utf-8
    3. import sys
    4. # sudo pip install requests
    5. import requests
    6. if len(sys.argv) < 4:
    7.     print("bad argument")
    8.     sys.exit(1)
    9. with open(sys.argv[1]) as f:
    10.     cert = f.read()
    11. with open(sys.argv[2]) as f:
    12.     key = f.read()
    13. sni = sys.argv[3]
    16. reqParam = {
    17.     "cert": cert,
    18.     "key": key,
    19.     "snis": [sni],
    20. }
    21. if len(sys.argv) >= 5:
    22.     print("Setting mTLS")
    23.     reqParam["client"] = {}
    24.     with open(sys.argv[4]) as f:
    25.         clientCert = f.read()
    26.         reqParam["client"]["ca"] = clientCert
    27.     if len(sys.argv) >= 6:
    28.         reqParam["client"]["depth"] = int(sys.argv[5])
    29. resp = requests.put("http://127.0.0.1:9180/apisix/admin/ssls/1", json=reqParam, headers={
    30.     "X-API-KEY": api_key,
    31. })
    32. print(resp.status_code)
    33. print(resp.text)

    使用上述 Python 脚本创建 SSL 资源:

    注意,测试时使用的域名需要符合证书的参数。

    有时候上游的服务启用了双向认证。在这种情况下,APISIX 作为上游服务的客户端,需要提供客户端证书来正常与其进行通信。

    如何配置

    在配置 upstream 资源时,可以使用参数 tls.client_certtls.client_key 来配置 APISIX 用于与上游进行通讯时使用的证书。可参考 。

    该功能需要 APISIX 运行在 APISIX-Base 上。

    下面是一个与配置 SSL 时相似的 Python 脚本,可为一个已存在的 upstream 资源配置双向认证。如果需要,可修改 API 地址和 API Key。

    1. # coding: utf-8
    2. import sys
    4. import requests
    6. if len(sys.argv) < 4:
    7.     print("bad argument")
    8.     sys.exit(1)
    9. with open(sys.argv[2]) as f:
    10.     cert = f.read()
    11. with open(sys.argv[3]) as f:
    12.     key = f.read()
    13. id = sys.argv[1]
    14. api_key = "edd1c9f034335f136f87ad84b625c8f1" # Change it
    16. reqParam = {
    17.     "tls": {
    18.         "client_cert": cert,
    19.         "client_key": key,
    20.     },
    21. }
    23. resp = requests.patch("http://127.0.0.1:9180/apisix/admin/upstreams/"+id, json=reqParam, headers={
    24.     "X-API-KEY": api_key,
    25. })
    26. print(resp.status_code)
    27. print(resp.text)

    为 ID 为 的 upstream 配置双向认证:

    1. ./patch_upstream_mtls.py testmtls ./client.pem ./client.key