证书

在客户端应用程序和 API7 网关之间配置 TLS 或 mTLS 时，会使用到证书。由 SSL 和 CA 证书组成的系统对于在互联网上建立信任和安全性至关重要，它使用户能够放心地浏览网站并与之交互。

• SSL 证书（SSL Certificate）：用于传输层安全性协议（TLS）。安全套接字层（SSL）协议曾是一种旨在保护双方通信安全的加密协议。
• 客户端证书（Client Certificate）：用于双向传输层安全性协议（mTLS）。它就像是一个用于安全连接的双重检查系统，双方在交换信息之前都会互相验证对方的身份。

SSL 证书

TLS 是在现有协议（如 HTTP 或 TCP）之上实现的。它通过建立 TLS 握手连接并对数据传输进行加密，提供了一层额外的安全性。

下图突出了以下协议中的单向 TLS 握手过程：

• TLS v1.2
• TLS v1.3

TLS v1.2 和 TLS v1.3 是目前最常用的两个 TLS 版本。

在此过程中，服务器通过出示其证书向客户端进行身份验证。 客户端验证证书以确保它是有效的，并且是由受信任的机构签发的。 一旦证书被验证，客户端和服务器就会就一个共享密钥达成一致，该密钥用于加密和解密应用程序数据。

CA 证书

API7 企业版也支持双向 TLS（mTLS），其中客户端也会通过出示其证书向 API7 网关进行身份验证，从而有效地创建了一个双向 TLS 连接。 这确保了双方都经过了身份验证，有助于防止诸如中间人攻击（man-in-the-middle）之类的网络攻击。

使用场景

为了使用 API7 企业版在你的系统中启用 TLS 或 mTLS，你应该生成并配置证书，并将它们与 SNI 关联起来。

更多资源

• 核心概念
  • 服务（Services）
  • SNI
• API 安全
  • 在客户端和 API7 网关之间配置 mTLS（Configure mTLS between Client and API7 Gateway）
  • 在 HashiCorp Vault 中引用凭据（Reference Secrets in HashiCorp Vault）
  • 在 AWS Secrets Manager 中引用凭据（Reference Secrets in AWS Secrets Manager）
  • 在 Kubernetes Secret 中引用凭据（Reference Secrets in Kubernetes Secret）