Apache APISIX 证书上传问题分析与解决方案

问题背景

在使用 Apache APISIX 及其 Dashboard 组件时，用户通过 Dashboard 界面上传 SSL 证书后，APISIX Pod 会出现错误日志，提示"additional properties forbidden, found validity_end"等验证错误。这个问题主要发生在 APISIX 3.9.x 版本与 Dashboard 3.0.0 版本的组合使用场景中。

问题现象

当用户通过 APISIX Dashboard 上传 SSL 证书后，系统会在 etcd 中存储包含以下字段的证书数据：

• validity_start
• validity_end

这些额外的字段会导致 APISIX 服务在启动或重新加载配置时报错，错误信息表明 etcd 中存储的数据包含了不被允许的额外属性。

根本原因

经过分析，这个问题是由于 APISIX Dashboard 与 APISIX 核心组件之间的版本兼容性问题导致的。具体表现为：

1. APISIX Dashboard 3.0.0 版本在上传证书时，会自动添加证书的有效期信息（validity_start 和 validity_end）
2. 这些字段不被 APISIX 3.9.x 版本的证书模式验证所接受
3. 当 APISIX 从 etcd 加载这些配置时，会触发模式验证错误

临时解决方案

对于急需解决问题的用户，可以采用以下临时方案：

方案一：使用 APISIX Admin API 直接上传证书

通过 APISIX 的管理 API 直接上传证书可以避免这个问题，因为 API 不会添加额外的有效期字段。

示例命令：

CERT=$(awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' your_domain.pem)
KEY=$(awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' your_domain.key)
curl http://{APISIX_ADMIN_ADDRESS}:9180/apisix/admin/ssls -X POST -d '{
    "cert": "'"$CERT"'",
    "key": "'"$KEY"'",
    "snis": ["your.domain"]
}' -H 'X-API-KEY: {your_api_key}'

方案二：手动清理 etcd 中的无效字段

对于已经通过 Dashboard 上传的证书，可以手动编辑 etcd 中的数据，删除 validity_start 和 validity_end 字段。

长期解决方案

开发团队已经在 APISIX Dashboard 的主分支中修复了这个问题。用户可以通过以下方式获取修复后的版本：

1. 从源码构建 Dashboard：

git clone https://github.com/apache/apisix-docker.git
cd apisix-docker/dashboard
docker build -f Dockerfile.alpine --build-arg APISIX_DASHBOARD_TAG=master -t apisix-dashboard:master .

2. 等待官方发布包含此修复的稳定版本

最佳实践建议

1. 在生产环境中，建议先测试证书上传功能
2. 保持 APISIX 核心组件和 Dashboard 的版本同步更新
3. 对于关键业务，考虑使用 API 而非 Dashboard 进行证书管理
4. 定期检查 APISIX 日志，及时发现类似配置问题

总结

证书上传问题是 APISIX 生态系统中组件版本不匹配导致的典型问题。通过理解问题的根本原因，用户可以采取适当的临时解决方案，同时等待官方修复。这也提醒我们在使用开源组件时，需要关注各组件版本间的兼容性，特别是在进行升级时，应该全面测试各项功能。

随着 APISIX 项目的持续发展，开发团队正在努力改进 Dashboard 与新版本 APISIX 的兼容性，未来版本将提供更稳定、更一致的用户体验。