## TLS配置
- [DataSource](#datasource)
- [TlsParameters](#tlsparameters)
- [TlsParameters.TlsProtocol (Enum)](#tlsparameterstlsprotocol-enum)
- [TlsCertificate](#tlscertificate)
- [TlsSessionTicketKeys](#tlssessionticketkeys)
- [CertificateValidationContext](#certificatevalidationcontext)
- [CommonTlsContext](#commontlscontext)
- [UpstreamTlsContext](#upstreamtlscontext)
- [DownstreamTlsContext](#downstreamtlscontext)
### DataSource
[DataSource proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L26)
```
{
"filename": "..."
}
```
- **filename**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar), REQUIRED) 本地文件系統數據源。必須設置一個文件名。
### TlsParameters
[TlsParameters proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L38)
```
{
"tls_minimum_protocol_version": "...",
"tls_maximum_protocol_version": "...",
"cipher_suites": [],
"ecdh_curves": []
}
```
- **tls_minimum_protocol_version**<br />
([TlsParameters.TlsProtocol](#tlsparameterstlsprotocol)) 容許的最小TLS協議版本。
- **tls_maximum_protocol_version**<br />
([TlsParameters.TlsProtocol](#tlsparameterstlsprotocol)) 容許的最大TLS協議版本。
- **cipher_suites**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 如果指定,則TLS監聽器將僅支持指定的密碼套件。如果未指定,則默認列表:
```
[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]
[ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
```
將會被使用。
- **ecdh_curves**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 如果指定,TLS連接將只支持指定的ECDH密鑰交換。如果未指定,將使用默認(X25519,P-256)。
### TlsParameters.TlsProtocol (Enum)
[TlsParameters.TlsProtocol proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L39)
- **TLS_AUTO**<br />
(DEFAULT) Envoy將選擇最佳的TLS版本。
- **TLSv1_0**<br />
TLS 1.0
- **TLSv1_1**<br />
TLS 1.1
- **TLSv1_2**<br />
TLS 1.2
- **TLSv1_3**<br />
TLS 1.3
### TlsCertificate
[TlsCertificate proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L95)
```
{
"certificate_chain": "{...}",
"private_key": "{...}"
}
```
- **certificate_chain**<br />
([DataSource](#datasource)) TLS證書鏈。
- **private_key**<br />
([DataSource](#datasource)) TLS私鑰。
### TlsSessionTicketKeys
[TlsSessionTicketKeys proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L112)
```
{
"keys": []
}
```
- **keys**<br />
([DataSource](#datasource), REQUIRED)
TLS會話的加解密的密鑰。數組中的第一個密鑰將作所有新會話加密的上下文。所有密鑰都將用來解密所收到的憑證。這允許通過,先放置新的密鑰在前面,第二個是舊的密鑰,用于實現密鑰輪換。
如果未指定[session_ticket_keys](#downstreamtlscontext),那么TLS庫仍將支持通過故障恢復單個會話,但會使用內部生成和管理的密鑰,因此會話不能在熱重啟或不同的主機上恢復。
每個密鑰必須包含完全80字節的密碼安全隨機數據。例如,`openssl rand 80`的輸出。
注意:使用此功能需要考慮嚴重的安全風險。即使使用了支持完美前向保密的密碼,對密鑰的不正確處理也可能導致連接的保密性喪失。有關討論,請[參閱](https://www.imperialviolet.org/2013/06/27/botchingpfs.html)討論。為了最大限度地降低風險,您必須:
- 保持會話憑證密鑰至少與TLS證書私鑰一樣安全。
- 至少每天輪換會話憑證密鑰,最好每小時輪換一次。
- 始終使用密碼安全的隨機數據源生成密鑰。
### CertificateValidationContext
[CertificateValidationContext proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L139)
```
{
"trusted_ca": "{...}",
"verify_certificate_hash": [],
"verify_subject_alt_name": []
}
```
- **trusted_ca**<br />
([DataSource](#datasource)) TLS證書數據包含頒發機構證書,提供用于驗證客戶端的證書。如果未指定并且提供了客戶端證書,則不會進行驗證。默認情況下,校驗客戶端證書是可選的,除非還指定了其中一個附加選項(`require_client_certificate`,`verify_certificate_hash`或`verify_subject_alt_name`)。
- **verify_certificate_hash**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 如果指定,Envoy將驗證(pin)所提供證書的十六進制編碼的SHA-256散列。
- **verify_subject_alt_name**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 可選,標題替代名稱列表。如果指定,Envoy將驗證證書的標題替代名稱是否與指定其中一個值匹配。
### CommonTlsContext
[CommonTlsContext proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L173)
客戶端和服務器TLS上下文共享。
```
{
"tls_params": "{...}",
"tls_certificates": [],
"validation_context": "{...}",
"alpn_protocols": []
}
```
- **tls_params**<br />
([TlsParameters](#tlsparameters)) TLS協議版本,算法套件等。
- **tls_certificates**<br />
([TlsCertificate](#tlscertificate)) 多個TLS證書可以與相同的上下文關聯。 例如:為了同時允許RSA和ECDSA證書,可以配置兩個TLS證書。
注意:雖然這是一個列表,但是目前只支持單個證書。這將在未來放寬。
- **validation_context**<br />
([CertificateValidationContext](#certificatevalidationcontext)) 如何驗證對等證書。
- **alpn_protocols**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 提供監聽器應該公開的ALPN協議列表。實際上,這可能會被設置為兩個值之一(有關更多信息,請參閱HTTP連接管理器中的codec_type參數):
- “h2,http/1.1” 如果監聽器要同時支持HTTP/2和HTTP/1.1。
- “http/1.1” 如果監聽器只支持HTTP/1.1。
這個參數沒有默認值。如果為空,Envoy將不會暴露ALPN。
### UpstreamTlsContext
[UpstreamTlsContext proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L214)
```
{
"common_tls_context": "{...}",
"sni": "..."
}
```
- **common_tls_context**<br />
([CommonTlsContext](#commontlscontext)) 常見的TLS上下文設置。
- **sni**<br />
([string](https://developers.google.com/protocol-buffers/docs/proto#scalar)) 創建TLS后端連接時使用的SNI字符串。
### DownstreamTlsContext
[DownstreamTlsContext proto](https://github.com/envoyproxy/data-plane-api/blob/master/api/sds.proto#L222)
```
{
"common_tls_context": "{...}",
"require_client_certificate": "{...}",
"session_ticket_keys": "{...}"
}
```
- **common_tls_context**<br />
([CommonTlsContext](#commontlscontext)) 常見的TLS上下文設置。
- **require_client_certificate**<br />
([BoolValue](https://developers.google.com/protocol-buffers/docs/reference/google.protobuf#boolvalue)) 如果指定,Envoy將拒絕沒有有效客戶端證書的連接。
- **session_ticket_keys**<br />
([TlsSessionTicketKeys](#tlssessionticketkeys)) TLS會話憑證密鑰設置。
注意:只有一個`session_ticket_keys`可被設置。
## 返回
- [上一級](../v2APIreference.md)
- [首頁目錄](../README.md)
- 首頁
- 簡介
- Envoy是什么
- 架構介紹
- 術語
- 線程模型
- 監聽器
- L3/L4網絡過濾器
- HTTP連接管理
- HTTP過濾器
- HTTP路由
- gRPC
- WebSocket支持
- 集群管理
- 服務發現
- 健康檢查
- 連接池
- 負載均衡
- 異常檢測
- 熔斷
- 全局限速
- TLS
- 統計
- 運行時配置
- 跟蹤
- TCP代理
- 訪問日志
- MongoDB
- DynamoDB
- Redis
- 熱重啟
- 動態配置
- 初始化
- 逐出
- 腳本
- 部署
- 業界對比
- 獲得幫助
- 歷史版本
- 編譯安裝
- 編譯
- 參考配置
- 演示沙箱
- 前端代理
- Zipkin跟蹤
- Jaeger跟蹤
- gRPC橋接
- 構建Envoy Docker鏡像
- 工具
- 配置參考
- V1 API 概述
- V2 API 概述
- 監聽器
- 網絡過濾器
- TLS客戶端身份認證
- Echo
- Mongo代理
- 速率限制
- Redis代理
- TCP代理
- HTTP連接管理器
- 路由匹配
- 流量轉移/分流
- HTTP頭部操作
- HTTP頭部清理
- 統計
- 運行時設置
- 路由發現服務
- HTTP過濾器
- 緩存
- CORS過濾器
- 故障注入
- DynamoDB
- gRPC HTTP/1.1 橋接
- gRPC-JSON 轉碼過濾器
- gRPC-Web 過濾器
- 健康檢查
- 速率限制
- 路由
- Lua
- 集群管理
- 統計
- 運行時設置
- 集群發現服務
- 健康檢查
- 熔斷
- 訪問日志
- 限速服務
- 運行時配置
- 路由表檢查工具
- 運維管理
- 命令行選項
- 熱重啟
- 管理接口
- 統計概述
- 運行時配置
- 文件系統
- 自定義擴展示例
- V1 API參考
- 監聽器
- 網絡過濾器
- TLS客戶端身份認證
- Echo
- HTTP連接管理
- Mongo代理
- 速率限制
- Redis代理
- TCP代理
- HTTP路由配置
- 虛擬主機
- 路由
- 虛擬集群
- 速率限制配置
- 路由發現服務
- HTTP過濾器
- 緩存
- CORS過濾器
- DynamoDB
- 故障注入
- gRPC HTTP/1.1 橋接
- gRPC-JSON 轉碼過濾器
- gRPC-Web 過濾器
- 健康檢查
- Lua
- 速率限制
- 路由
- 集群管理
- 集群
- 健康檢查
- 熔斷
- TLS上下文
- 異常值檢測
- HASH環負載均衡配置
- 異常檢測
- 集群發現服務
- 服務發現服務
- 訪問日志
- 管理接口
- 限速服務
- 運行時配置
- 跟蹤
- V2 API參考
- 啟動引導
- 監聽&監聽發現
- 集群&集群發現
- 服務發現
- 健康檢查
- HTTP路由管理&發現
- TLS配置
- 通用的類型
- 網絡地址
- 協議選項
- 發現API
- 限速組件
- 過濾器
- 網絡過濾器
- TLS客戶端身份認證
- HTTP連接管理
- Mongo代理
- 速率限制
- Redis代理
- TCP代理
- HTTP過濾器
- 緩存
- 故障注入
- 健康檢查
- Lua
- 速率限制
- 路由
- gRPC-JSON轉碼器
- 常見訪問日志類型
- 常見故障注入類型
- FAQ
- Envoy有多快?
- 我在哪里獲得二進制文件?
- 我如何設置SNI?
- 如何設置區域感知路由?
- 我如何設置Zipkin跟蹤?