Envoy项目中UpstreamTLSContext客户端证书配置问题解析

在Envoy代理的实际应用中，配置上游服务的TLS连接是一个常见需求，特别是当上游服务要求客户端证书认证时。本文将深入分析一个典型的配置问题及其解决方案，帮助开发者更好地理解Envoy的TLS工作机制。

问题现象

在使用Envoy的OAuth客户端凭据注入器时，开发者遇到了一个TLS认证问题。配置中虽然指定了客户端证书，但在实际请求上游服务时，Envoy并未正确发送这些证书，导致服务端返回"400 No required SSL certificate was sent"错误。

配置分析

从日志中可以清晰地看到，Envoy成功建立了到上游服务的连接，但在TLS握手阶段未能提供客户端证书。上游服务因此拒绝了请求，返回了HTTP 400状态码。

关键的错误日志显示：

Oauth response body: <html>
<head><title>400 No required SSL certificate was sent</title></head>

根本原因

经过深入分析，发现问题出在UpstreamTLSContext的配置上。虽然配置中正确指定了客户端证书，但缺少了两个关键参数：

1. auto_host_sni: 控制是否自动设置SNI（Server Name Indication）扩展
2. auto_sni_san_validation: 控制是否自动验证SAN（Subject Alternative Name）

这两个参数对于现代TLS握手过程至关重要，特别是在需要客户端证书认证的场景中。

解决方案

修正后的配置应包含以下关键部分：

transport_socket:
  name: envoy.transport_sockets.tls
  typed_config:
    "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
    auto_host_sni: true
    auto_sni_san_validation: true
    common_tls_context:
      tls_certificate_sds_secret_configs:
      - name: client_cert
      validation_context:
        trusted_ca:
          filename: /path/to/ca.pem

技术原理

1. SNI扩展：现代TLS握手过程中，客户端通过SNI扩展告知服务器它正在连接的主机名。这对于服务器选择正确的证书链非常重要。

2. SAN验证：Subject Alternative Name是X.509证书中的一个扩展，允许证书保护多个主机名。自动验证可以确保连接的主机名与证书中的SAN匹配。

3. 客户端证书流程：当服务器要求客户端证书时，客户端需要在TLS握手期间提供有效的证书链。这个过程依赖于正确的SNI和SAN配置。

最佳实践

1. 对于所有需要客户端证书的上游TLS连接，都应启用auto_host_sni和auto_sni_san_validation。

2. 确保证书链完整且格式正确，包括中间CA证书（如果有）。

3. 定期检查证书有效期，避免因证书过期导致连接失败。

4. 在生产环境中，考虑使用SDS（Secret Discovery Service）动态管理证书，而不是静态文件。

总结

Envoy作为高性能代理，其TLS配置需要特别注意细节。通过正确配置UpstreamTLSContext的相关参数，可以确保客户端证书在TLS握手过程中被正确发送，从而建立安全的双向认证连接。理解这些底层机制对于排查类似问题和设计可靠的微服务架构至关重要。