OpenZiti路由器广告地址变更问题解析与解决方案

在OpenZiti网络架构中，路由器作为关键组件承担着流量转发的重要职责。1.4.0版本引入的SAN(Subject Alternative Name)检查机制虽然增强了安全性，但在实际运维中给路由器广告地址变更带来了新的挑战。

问题背景

当管理员需要修改路由器的广告地址时，1.4.0+版本会在启动阶段执行严格的SAN检查。这个检查发生在路由器获取新证书之前，导致系统直接抛出异常而无法启动。这种保护机制虽然防止了证书不匹配的安全风险，但也阻断了正常的地址变更流程。

技术原理

SAN检查机制的核心目的是确保路由器使用的证书包含当前配置的广告地址。该机制在TLS握手前验证：

1. 配置的广告地址必须存在于证书的SAN列表中
2. 证书必须有效且未过期
3. 证书链必须完整可信

在地址变更场景下，新地址尚未包含在现有证书中，而证书更新又需要路由器先启动，这就形成了典型的"鸡生蛋蛋生鸡"问题。

专业解决方案

经过深入分析，我们推荐以下五步解决方案：

1. 临时回退地址
   修改router的config.yml文件，将advertisedAddress暂时设置为已有SAN包含的地址（如localhost）。这相当于建立一个安全回退点。

2. 预注册新地址
   在edge.csr.sans.dns配置段中添加计划使用的新广告地址。这个操作相当于为证书签名请求(CSR)预先声明需要包含的域名。

3. 证书扩展更新
   使用run --extend参数启动路由器。这个特殊模式会：

   • 跳过部分初始化检查
   • 生成包含新SAN的CSR
   • 向控制器申请更新证书
   • 自动重载新证书

4. 正式配置切换
   确认新证书包含目标地址后：

   • 移除临时添加的SAN
   • 将advertisedAddress永久修改为目标地址

5. 常规启动验证
   正常启动路由器，此时SAN检查将顺利通过，系统以新地址对外提供服务。

最佳实践建议

1. 变更时间窗口
   建议在业务低峰期执行此操作，虽然整个过程通常只需几分钟，但仍可能造成短暂服务中断。

2. 多地址场景
   如果需要支持多个广告地址，可以永久保留部分SAN记录，但要注意证书的通用性不应过度扩大。

3. 监控验证
   变更完成后，建议使用OpenZiti提供的诊断工具验证：

   • 证书有效期
   • SAN列表完整性
   • 网络可达性

4. 版本兼容性
   此方案适用于1.4.0及以上版本，对于更早版本可直接修改地址而无需此流程。

通过这套方案，管理员可以在保证安全性的前提下，灵活调整路由器的网络定位，满足企业网络架构演进的各类需求。