Redisson客户端SSL证书验证机制深度解析

背景概述

在使用Redisson客户端连接Redis服务时，当采用自签名证书的SSL/TLS加密连接时，开发者常会遇到证书验证相关的连接问题。典型场景包括：

1. 证书中的CN(Common Name)或SAN(Subject Alternative Name)不包含实际连接的IP地址
2. 测试环境下需要灵活控制证书验证强度
3. 生产环境需要平衡安全性与兼容性

核心问题分析

Redisson 3.37.0版本之前，客户端通过setSslEnableEndpointIdentification配置项控制SSL验证行为。但该配置存在以下局限性：

• 启用时(默认true)会强制验证主机名匹配
• 禁用时(false)会完全跳过所有证书验证（包括CA链验证）

这种"全有或全无"的验证模式无法满足以下合理需求：

• 仅跳过主机名验证但保持CA验证
• 分环境配置不同的验证强度

解决方案演进

最新版本Redisson引入了sslVerificationMode配置参数，提供三级验证粒度：

config.setSslVerificationMode(SslVerificationMode.CA);

可选值包含：

1. NONE - 完全跳过所有验证（仅建议测试环境使用）
2. CA - 验证证书签发链但不验证主机名（平衡方案）
3. FULL - 完整验证包括主机名检查（生产推荐）

技术实现原理

在底层实现上，Redisson通过定制SSLContext来实现不同验证级别：

• 对于CA模式，会创建不检查主机名的HostnameVerifier
• 证书链验证始终通过Java信任库(JKS)完成
• 连接建立时自动根据模式选择验证策略

最佳实践建议

1. 开发环境可使用NONE模式快速搭建
2. 预发布环境建议使用CA模式
3. 生产环境必须使用FULL模式并确保：
   • 证书包含正确的SAN扩展
   • 信任链完整可验证
4. 自签名证书需确保：
   • 包含服务器实际IP/DNS的SAN条目
   • CA证书导入Java信任库

配置示例

Config config = new Config();
config.useSingleServer()
      .setAddress("rediss://10.17.3.104:6379")
      .setSslVerificationMode(SslVerificationMode.CA)
      .setSslTruststore(new File("/path/to/truststore.jks"))
      .setSslTruststorePassword("password");

该方案既解决了原有配置的灵活性不足问题，又保持了与企业级安全要求的兼容性。开发者在不同环境下可以根据实际需求选择合适的验证强度，无需在安全性和可用性之间做妥协。