• TLS配置
    • DataSource
    • TlsParameters
    • TlsParameters.TlsProtocol (Enum)
    • TlsCertificate
    • TlsSessionTicketKeys
    • CertificateValidationContext
    • CommonTlsContext
    • UpstreamTlsContext
    • DownstreamTlsContext
  • 返回

    TLS配置

    • DataSource
    • TlsParameters
    • TlsParameters.TlsProtocol (Enum)
    • TlsCertificate
    • TlsSessionTicketKeys
    • CertificateValidationContext
    • CommonTlsContext
    • UpstreamTlsContext
    • DownstreamTlsContext

    DataSource

    DataSource proto

    1. {
    2. "filename": "..."
    3. }
    • filename

      (string, REQUIRED) 本地文件系统数据源。必须设置一个文件名。

    TlsParameters

    TlsParameters proto

    1. {
    2. "tls_minimum_protocol_version": "...",
    3. "tls_maximum_protocol_version": "...",
    4. "cipher_suites": [],
    5. "ecdh_curves": []
    6. }
    • tls_minimum_protocol_version

      (TlsParameters.TlsProtocol) 容许的最小TLS协议版本。

    • tls_maximum_protocol_version

      (TlsParameters.TlsProtocol) 容许的最大TLS协议版本。

    • cipher_suites

      (string) 如果指定,则TLS监听器将仅支持指定的密码套件。如果未指定,则默认列表:

    1. [ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]
    2. [ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]
    3. ECDHE-ECDSA-AES128-SHA256
    4. ECDHE-RSA-AES128-SHA256
    5. ECDHE-ECDSA-AES128-SHA
    6. ECDHE-RSA-AES128-SHA
    7. AES128-GCM-SHA256
    8. AES128-SHA256
    9. AES128-SHA
    10. ECDHE-ECDSA-AES256-GCM-SHA384
    11. ECDHE-RSA-AES256-GCM-SHA384
    12. ECDHE-ECDSA-AES256-SHA384
    13. ECDHE-RSA-AES256-SHA384
    14. ECDHE-ECDSA-AES256-SHA
    15. ECDHE-RSA-AES256-SHA
    16. AES256-GCM-SHA384
    17. AES256-SHA256
    18. AES256-SHA

    将会被使用。

    • ecdh_curves

      (string) 如果指定,TLS连接将只支持指定的ECDH密钥交换。如果未指定,将使用默认(X25519,P-256)。

    TlsParameters.TlsProtocol (Enum)

    TlsParameters.TlsProtocol proto

    • TLS_AUTO

      (DEFAULT) Envoy将选择最佳的TLS版本。

    • TLSv1_0

      TLS 1.0

    • TLSv1_1

      TLS 1.1
    • TLSv1_2

      TLS 1.2
    • TLSv1_3

      TLS 1.3

    TlsCertificate

    TlsCertificate proto

    1. {
    2. "certificate_chain": "{...}",
    3. "private_key": "{...}"
    4. }
    • certificate_chain

      (DataSource) TLS证书链。

    • private_key

      (DataSource) TLS私钥。

    TlsSessionTicketKeys

    TlsSessionTicketKeys proto

    1. {
    2. "keys": []
    3. }
    • keys

      (DataSource, REQUIRED)
      TLS会话的加解密的密钥。数组中的第一个密钥将作所有新会话加密的上下文。所有密钥都将用来解密所收到的凭证。这允许通过,先放置新的密钥在前面,第二个是旧的密钥,用于实现密钥轮换。

      如果未指定session_ticket_keys,那么TLS库仍将支持通过故障恢复单个会话,但会使用内部生成和管理的密钥,因此会话不能在热重启或不同的主机上恢复。

      每个密钥必须包含完全80字节的密码安全随机数据。例如,openssl rand 80的输出。

      注意:使用此功能需要考虑严重的安全风险。即使使用了支持完美前向保密的密码,对密钥的不正确处理也可能导致连接的保密性丧失。有关讨论,请参阅讨论。为了最大限度地降低风险,您必须:

      • 保持会话凭证密钥至少与TLS证书私钥一样安全。
      • 至少每天轮换会话凭证密钥,最好每小时轮换一次。
      • 始终使用密码安全的随机数据源生成密钥。

    CertificateValidationContext

    CertificateValidationContext proto

    1. {
    2. "trusted_ca": "{...}",
    3. "verify_certificate_hash": [],
    4. "verify_subject_alt_name": []
    5. }
    • trusted_ca

      (DataSource) TLS证书数据包含颁发机构证书,提供用于验证客户端的证书。如果未指定并且提供了客户端证书,则不会进行验证。默认情况下,校验客户端证书是可选的,除非还指定了其中一个附加选项(require_client_certificateverify_certificate_hashverify_subject_alt_name)。

    • verify_certificate_hash

      (string) 如果指定,Envoy将验证(pin)所提供证书的十六进制编码的SHA-256散列。

    • verify_subject_alt_name

      (string) 可选,标题替代名称列表。如果指定,Envoy将验证证书的标题替代名称是否与指定其中一个值匹配。

    CommonTlsContext

    CommonTlsContext proto

    客户端和服务器TLS上下文共享。

    1. {
    2. "tls_params": "{...}",
    3. "tls_certificates": [],
    4. "validation_context": "{...}",
    5. "alpn_protocols": []
    6. }
    • tls_params

      (TlsParameters) TLS协议版本,算法套件等。

    • tls_certificates

      (TlsCertificate) 多个TLS证书可以与相同的上下文关联。 例如:为了同时允许RSA和ECDSA证书,可以配置两个TLS证书。

      注意:虽然这是一个列表,但是目前只支持单个证书。这将在未来放宽。

    • validation_context

      (CertificateValidationContext) 如何验证对等证书。

    • alpn_protocols

      (string) 提供监听器应该公开的ALPN协议列表。实际上,这可能会被设置为两个值之一(有关更多信息,请参阅HTTP连接管理器中的codec_type参数):

      • “h2,http/1.1” 如果监听器要同时支持HTTP/2和HTTP/1.1。

      • “http/1.1” 如果监听器只支持HTTP/1.1。

        这个参数没有默认值。如果为空,Envoy将不会暴露ALPN。

    UpstreamTlsContext

    UpstreamTlsContext proto

    1. {
    2. "common_tls_context": "{...}",
    3. "sni": "..."
    4. }
    • common_tls_context

      (CommonTlsContext) 常见的TLS上下文设置。

    • sni

      (string) 创建TLS后端连接时使用的SNI字符串。

    DownstreamTlsContext

    DownstreamTlsContext proto

    1. {
    2. "common_tls_context": "{...}",
    3. "require_client_certificate": "{...}",
    4. "session_ticket_keys": "{...}"
    5. }
    • common_tls_context

      (CommonTlsContext) 常见的TLS上下文设置。

    • require_client_certificate

      (BoolValue) 如果指定,Envoy将拒绝没有有效客户端证书的连接。

    • session_ticket_keys

      (TlsSessionTicketKeys) TLS会话凭证密钥设置。

      注意:只有一个session_ticket_keys可被设置。

    返回

    • 上一级
    • 首页目录