SNI
SNI 对象表示 服务 的主机名和 证书 之间的多对多映射关系。因此,单个证书对象可以通过使用 SNI 由多个服务共享。
SNI 工作原理
由于 API7 网关位于实际后端服务的前面,因此它在握手中充当服务器的角色。
当客户端发起 SSL/TLS 连接时,它会在 TLS 握手的服务器名称指示 (SNI) 字段中包含它尝试访问的主机名。服务器使用从客户端接收到的 SNI 从其存储库中选择合适的 SSL 证书。然后,服务器将匹配的证书呈现给客户端,完成 TLS 握手并建立安全连接。
在 mTLS 中,除了 SLL 证书之外,还需要 CA 证书。服务器出示其证书后,客户端也向服务器出示自己的证书。服务器使用公钥验证客户端证书。这确保了客户端经过身份验证并有权访问服务器的资源。客户端和服务器现在都验证了彼此的身份,建立了安全且相互认证的连接。
使用案例
- 有效利用资源: 允许具有不同主机名的多个服务共享证书管理,从而降低基础架构成本和复杂性。
- 增强的安全性: 确保为每个主机名提供正确的 SSL 证书,维护安全连接并防止潜在的安全漏洞。
相关阅读
- 核心概念
- API 安全