首页
/ Apache APISIX 中配置 ApisixTls 实现 SSL 上游服务的实践指南

Apache APISIX 中配置 ApisixTls 实现 SSL 上游服务的实践指南

2025-05-15 20:49:47作者:霍妲思

问题背景

在使用 Apache APISIX 作为 API 网关时,我们经常需要处理上游服务启用 SSL/TLS 的情况。当尝试通过 ApisixTls 资源配置 SSL 连接时,可能会遇到 "tlsv1 alert internal error" 的错误提示。这种错误通常表明 SSL 握手过程中出现了问题,可能是由于证书配置不当或双向认证(mTLS)验证失败导致的。

错误现象分析

典型的错误表现为客户端在尝试建立 TLS 连接时,服务器返回了内部错误:

TLSv1.3 (OUT), TLS handshake, Client hello (1):
TLSv1.3 (IN), TLS alert, internal error (592):
error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error

这种错误可能出现在以下场景中:

  1. 客户端证书验证失败
  2. 服务器证书链不完整
  3. 双向认证配置不正确
  4. SNI(服务器名称指示)不匹配

ApisixTls 配置解析

Apache APISIX 提供了 ApisixTls 自定义资源来管理 TLS 配置。一个典型的配置示例如下:

apiVersion: apisix.apache.org/v2
kind: ApisixTls
metadata:
  name: my-tls
spec:
  hosts:
  - example.com
  secret:
    name: app-secret
    namespace: default
  client:
    caSecret:
      name: app-ca-secret
      namespace: default
    depth: 10

这个配置定义了:

  • 主机名(SNI)为 example.com
  • 使用 default 命名空间中的 app-secret 作为服务器证书
  • 启用客户端证书验证,使用 app-ca-secret 作为 CA 证书
  • 设置证书链验证深度为 10

解决方案:实现部分路径的 mTLS 豁免

在某些场景下,我们可能希望对特定路径豁免双向认证(mTLS)要求。Apache APISIX 支持通过正则表达式匹配 URI 来实现这一功能。

虽然 ApisixTls CRD 目前不支持直接配置 skip_mtls_uri_regex 字段,但可以通过以下两种方式实现:

方法一:使用 Admin API 直接配置

通过 APISIX 的 Admin API 可以直接创建包含 skip_mtls_uri_regex 的 SSL 配置:

curl http://127.0.0.1:9180/apisix/admin/ssls/1 \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "sni": "example.com",
    "cert": "<证书内容>",
    "key": "<私钥内容>",
    "client": {
        "ca": "<CA证书内容>",
        "depth": 10,
        "skip_mtls_uri_regex": ["^/api/health$", "^/public/.*"]
    }
}'

方法二:修改 APISIX 配置

在 config.yaml 中添加全局配置:

apisix:
  ssl:
    ssl_trusted_certificate: /path/to/ca.crt
    skip_mtls_uri_regex: ["^/api/health$", "^/public/.*"]

最佳实践建议

  1. 证书管理:确保证书链完整,包括中间证书
  2. SNI 匹配:检查客户端请求中的 SNI 是否与配置匹配
  3. 测试验证:使用 openssl s_client 命令进行详细诊断
  4. 渐进式部署:先测试非生产环境,再应用到生产
  5. 监控告警:配置适当的监控以捕获 TLS 握手失败

总结

处理 Apache APISIX 中的 TLS 配置需要仔细检查证书链、SNI 匹配和双向认证设置。对于需要部分豁免 mTLS 的场景,虽然 ApisixTls CRD 目前不支持直接配置,但可以通过 Admin API 或修改配置文件实现。随着 APISIX 的版本更新,未来可能会在 CRD 中增加更多灵活的 TLS 配置选项。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
178
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
866
513
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
261
302
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
598
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K