Node Redis连接Azure Redis企业版集群时的TLS证书验证问题解析

2025-05-13 11:07:59作者：鲍丁臣Ursa

在使用Node Redis客户端连接Azure Redis企业版集群时，开发人员可能会遇到一个常见的TLS证书验证错误。本文将深入分析这个问题的根源，并提供多种解决方案。

问题现象

当尝试通过Node Redis客户端连接配置了TLS的Azure Redis企业版集群时，系统会抛出ERR_TLS_CERT_ALTNAME_INVALID错误。错误信息表明客户端尝试连接的IP地址不在证书的备用名称列表中。

根本原因分析

这个问题的产生源于几个关键因素：

Azure Redis企业版集群的特殊架构：Azure Redis企业版采用独特的端口分配机制，客户端首先连接到主节点端口10000，然后通过CLUSTER SLOTS命令动态发现其他节点。
证书验证机制：TLS证书验证要求客户端提供的服务器名称必须与证书中的subjectAltName匹配。Azure Redis企业版的证书通常只包含DNS名称（如*.westus3.redisenterprise.cache.azure.net），而不包含IP地址。
集群拓扑发现：Node Redis客户端在发现集群拓扑时，默认会使用节点报告的IP地址进行连接，而不是使用原始的主机名。

解决方案

方案一：使用nodeAddressMap配置

最推荐的解决方案是使用Node Redis客户端提供的nodeAddressMap配置项。这个方法允许开发人员自定义节点地址的映射逻辑：

const { createCluster } = require("redis");
const { isIP } = require("net");

const cluster = createCluster({
  rootNodes: [{
    socket: {
      host: "my-redis.westus3.redisenterprise.cache.azure.net",
      port: 10000,
      tls: true
    }
  }],
  nodeAddressMap: (address) => {
    const [hostAddress, port] = address.split(":");
    const host = isIP(hostAddress) !== 0 ? "my-redis.westus3.redisenterprise.cache.azure.net" : hostAddress;
    return { host, port: Number(port) };
  }
});

这个方案的优势在于：

保持了TLS证书验证的安全性
适应Azure Redis企业版的动态端口分配机制
不需要修改服务器配置

方案二：配置多个根节点

对于更稳定的环境，可以预先配置多个根节点：

const cluster = createCluster({
  rootNodes: [
    { socket: { host: "host1", port: 10000, tls: true } },
    { socket: { host: "host2", port: 10000, tls: true } },
    { socket: { host: "host3", port: 10000, tls: true } }
  ]
});

方案三：使用servername参数

对于需要直接指定IP地址的场景，可以通过servername参数保持证书验证：

const cluster = createCluster({
  rootNodes: [{
    socket: {
      host: "10.0.0.1", // 实际IP地址
      port: 10000,
      servername: "my-redis.westus3.redisenterprise.cache.azure.net",
      tls: true
    }
  }]
});