Envoy项目中PKCS12密钥库与TLS证书验证的注意事项

在Envoy项目中配置mTLS双向认证时，使用PKCS12格式的密钥库需要特别注意证书链的正确性。本文将通过一个实际案例，分析PKCS12配置中常见的证书验证问题及其解决方案。

问题现象

当开发者在Envoy的UpstreamTlsContext配置中同时使用PKCS12密钥库和独立的验证上下文时，可能会遇到TLS握手失败的情况。错误信息显示为"SSL routines:OPENSSL_internal:SSLV3_ALERT_CERTIFICATE_UNKNOWN"，表明证书验证失败。

配置对比分析

Envoy支持两种证书配置方式：

1. 分离式配置：分别指定证书链文件和私钥文件

"tls_certificates": [
 {
  "certificate_chain": {"filename": "cert.pem"},
  "private_key": {"filename": "key.pem"}
 }
]

2. PKCS12整合配置：使用PKCS12格式的密钥库文件

"tls_certificates": [
 {
  "pkcs12": {"filename": "keystore.p12"},
  "password": {"inline_string": "yourpassword"}
 }
]

问题根源

在实际案例中，开发者发现当使用PKCS12配置时，即使正确设置了validation_context中的trusted_ca，仍然会出现证书验证失败。经过深入排查，发现这是由于PKCS12文件生成时使用了错误的参数导致的。

常见错误包括：

• 使用-certfile参数时引用了错误的证书文件
• PKCS12文件中没有包含完整的证书链
• 证书链顺序不正确

解决方案

要确保PKCS12密钥库正常工作，需要：

1. 使用正确的OpenSSL命令生成PKCS12文件：

openssl pkcs12 -export -in cert.pem -inkey key.pem -out keystore.p12 -name myalias

2. 验证PKCS12文件内容：

openssl pkcs12 -info -in keystore.p12

3. 确保PKCS12文件中包含完整的证书链，包括中间CA证书（如果有）

最佳实践

1. 在生成PKCS12文件时，确保包含所有必要的证书
2. 测试时可以先使用分离式配置验证基本功能
3. 转换到PKCS12配置后，仔细检查证书链是否完整
4. 使用工具验证PKCS12文件内容是否符合预期

总结

Envoy的TLS配置非常灵活，但同时也需要开发者对证书管理有深入理解。当遇到PKCS12相关的证书验证问题时，应该首先检查PKCS12文件本身的内容和完整性，而不是怀疑Envoy的验证机制。正确的证书管理和配置是确保mTLS握手成功的关键。