### TLS 在與上游集群連接時，Envoy支持在監聽器中的終止以及發起TLS。對于Envoy來說，足以支持為現代Web服務執行標準的前端代理職責，并啟動與具有高級TLS要求（TLS1.2，SNI等）的外部服務的連接。Envoy支持以下TLS特性： - **密碼可配置**：每個TLS監聽者和客戶端可以指定它支持的密碼。 - **客戶端證書**：除服務器證書驗證之外，上游/客戶端連接還可以提供客戶端證書。 - **證書驗證和固定**：證書驗證選項包括基本鏈驗證，驗證標題名稱和哈希固定。 - **ALPN**：TLS監聽器支持ALPN。HTTP連接管理器使用這個信息來確定客戶端是HTTP/1.1還是HTTP/2。 - **SNI**：SNI當前支持客戶端連接。監聽器可能會在未來添加支持。 - **會話恢復**：服務器連接支持通過TLS會話票據恢復以前的會話（請參閱[RFC 5077](https://www.ietf.org/rfc/rfc5077.txt)）。可以在熱啟動之間和并行Envoy實例之間執行恢復（通常在前端代理配置中使用）。 #### 基礎實施 目前Envoy被寫入使用[BoringSSL](https://boringssl.googlesource.com/boringssl)作為TLS提供者。 #### 認證過濾器 Envoy提供了一個網絡過濾器，通過從REST VPN服務獲取的主體執行TLS客戶端身份驗證。此過濾器將提供的客戶端證書哈希與主機列表進行匹配，以確定是否允許連接。可選IP白名單也可以配置。該功能可用于為Web基礎架構VPN前端代理。 客戶端TLS認證過濾器[配置參考](../../Configurationreference/Networkfilters/ClientTLSauthentication.md)。 ### 返回 - [架構介紹](../Architectureoverview.md) - [簡介](../../Introduction.md) - [首頁目錄](../../README.md)