跳到主要内容

配置客户端和 APISIX 之间的 HTTPS

TLS (传输层安全性协议) 是一种旨在保护两个实体之间通信的加密协议。在客户端和 APISIX 之间强制执行 HTTPS 可提高数据传输过程中的安全性和真实性。

本指南将向你展示如何在客户端应用程序和 APISIX 之间配置 HTTPS。


客户端和 APISIX 之间的 TLS

前置条件

  • 安装 Docker
  • 安装 cURL 以向服务发送请求进行验证。
  • 按照 快速入门教程 在 Docker 或 Kubernetes 中启动一个新的 APISIX 实例。

创建路由

创建一个将所有请求 /ip 转发到上游 httpbin.org 的路由:

curl -i "http://127.0.0.1:9180/apisix/admin/routes" -X PUT -d '
{
  "id": "quickstart-client-ip",
  "uri": "/ip",
  "upstream": {
    "nodes": {
      "httpbin.org:80":1
    },
    "type": "roundrobin"
  }
}'

HTTP/1.1 200 OK 响应验证了路由已成功创建。

生成证书和密钥

生成证书颁发机构 (CA) 密钥和证书:

openssl genrsa -out ca.key 2048 && \
  openssl req -new -sha256 -key ca.key -out ca.csr -subj "/CN=ROOTCA" && \
  openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt

生成具有通用名称 test.com 的密钥和证书,并使用 CA 证书进行签名:

openssl genrsa -out server.key 2048 && \
  openssl req -new -sha256 -key server.key -out server.csr -subj "/CN=test.com" && \
  openssl x509 -req -days 36500 -sha256 -extensions v3_req \
  -CA ca.crt -CAkey ca.key -CAserial ca.srl -CAcreateserial \
  -in server.csr -out server.crt

为 APISIX 配置 HTTPS

你可以选择将 server.crtserver.key 的内容加载到环境变量中:

export server_cert=$(cat server.crt)
export server_key=$(cat server.key)

创建一个 SSL 证书对象以保存服务器证书及其密钥:

curl -i "http://127.0.0.1:9180/apisix/admin/ssls" -X PUT -d '
{
  "id": "quickstart-tls-client-ssl",
// Annotate 1
  "sni": "test.com",
// Annotate 2
  "cert": "'"${server_cert}"'",
// Annotate 3
  "key": "'"${server_key}"'"
}'

snitest.com,与服务器证书 CN 值相同

cert:服务器证书

key:服务器证书的私钥

验证客户端和 APISIX 之间的 HTTPS

由于证书仅对 CN test.com 有效,你应该使用 test.com 作为托管 APISIX 的域名。

https://test.com:9443/ip 发送请求并将 test.com 解析为 127.0.0.1

curl -ikv --resolve "test.com:9443:127.0.0.1" "https://test.com:9443/ip"

类似于以下的 TLS 握手过程验证了客户端和 APISIX 之间的 TLS 已启用:

* Added test.com:9443:127.0.0.1 to DNS cache
* Hostname test.com was found in DNS cache
*   Trying 127.0.0.1:9443...
* Connected to test.com (127.0.0.1) port 9443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=test.com
*  start date: Apr 21 07:47:54 2023 GMT
*  expire date: Mar 28 07:47:54 2123 GMT
*  issuer: CN=ROOTCA
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x556274d632e0)
> GET /ip HTTP/2
> Host: test.com:9443
> user-agent: curl/7.74.0
> accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 200 
HTTP/2 200 
...

下一步

你可以在 SSL 证书 中了解更多关于 TLS 和 APISIX SSL 对象的信息。

APISIX 还支持客户端和 APISIX 之间的 mTLS 连接。有关更多详细信息,请参阅 配置客户端和 APISIX 之间的 mTLS