juzhiyuan commented on code in PR #8915:
URL: https://github.com/apache/apisix/pull/8915#discussion_r1119493744
##########
docs/zh/latest/FAQ.md:
##########
@@ -707,6 +707,14 @@ make GOOS=linux GOARCH=amd64
prefix: "/apisix"
```
+## ssls 和 upstream 配置中的 tls.client_cert 以及 config-default.yaml 中的
ssl_trusted_certificate 它们的区别是什么?
+
+ssls 是通过 `/apisix/admin/ssls` 这个接口进行管理的。如果 APISIX 需要接收来自外网的 HTTPS
请求,那就需要用到存放在这里的证书来握手。SSLS 中可以配置多个证书,不同域名的证书 APISIX 将使用 Server Name Indication
(SNI) 来做区分。
Review Comment:
```suggestion
Admin API 中 `/apisix/admin/ssls` 用于管理 SSL 对象,如果 APISIX 需要接收来自外网的 HTTPS
请求,那就需要用到存放在这里的证书完成握手。SSL 对象中支持配置多个证书,不同域名的证书 APISIX 将使用 Server Name Indication
(SNI) 进行区分。
```
##########
docs/zh/latest/FAQ.md:
##########
@@ -707,6 +707,14 @@ make GOOS=linux GOARCH=amd64
prefix: "/apisix"
```
+## ssls 和 upstream 配置中的 tls.client_cert 以及 config-default.yaml 中的
ssl_trusted_certificate 它们的区别是什么?
Review Comment:
```suggestion
## SSL 对象与 `upstream` 对象中的 `tls.client_cert` 以及 `config-default.yaml` 中的
`ssl_trusted_certificate` 区别是什么?
```
##########
docs/zh/latest/FAQ.md:
##########
@@ -707,6 +707,14 @@ make GOOS=linux GOARCH=amd64
prefix: "/apisix"
```
+## ssls 和 upstream 配置中的 tls.client_cert 以及 config-default.yaml 中的
ssl_trusted_certificate 它们的区别是什么?
+
+ssls 是通过 `/apisix/admin/ssls` 这个接口进行管理的。如果 APISIX 需要接收来自外网的 HTTPS
请求,那就需要用到存放在这里的证书来握手。SSLS 中可以配置多个证书,不同域名的证书 APISIX 将使用 Server Name Indication
(SNI) 来做区分。
+
+upstream 中的 `tls.client_cert` `tls.client_key` `tls.client_cert_id`。这里的证书实际上是
Client 端的证书,用于需要与上游进行 mTLS 通信的情况。
Review Comment:
```suggestion
Upstream 对象中的 `tls.client_cert`、`tls.client_key` 与 `tls.client_cert_id`
用于存放客户端的证书,适用于需要与上游进行 [mTLS
通信](https://apisix.apache.org/zh/docs/apisix/tutorials/client-to-apisix-mtls/)的情况。
```
##########
docs/zh/latest/FAQ.md:
##########
@@ -707,6 +707,14 @@ make GOOS=linux GOARCH=amd64
prefix: "/apisix"
```
+## ssls 和 upstream 配置中的 tls.client_cert 以及 config-default.yaml 中的
ssl_trusted_certificate 它们的区别是什么?
+
+ssls 是通过 `/apisix/admin/ssls` 这个接口进行管理的。如果 APISIX 需要接收来自外网的 HTTPS
请求,那就需要用到存放在这里的证书来握手。SSLS 中可以配置多个证书,不同域名的证书 APISIX 将使用 Server Name Indication
(SNI) 来做区分。
+
+upstream 中的 `tls.client_cert` `tls.client_key` `tls.client_cert_id`。这里的证书实际上是
Client 端的证书,用于需要与上游进行 mTLS 通信的情况。
+
+config-default.yaml 中的 `ssl_trusted_certificate` 是配置一个受信任的根证书。它仅用于在 APISIX
内部访问某些具有自签名证书的服务(例如 Keycloak)时,避免提示对方证书不合法。需要注意的是,它不用于信任 APISIX 上游的证书,因为 APISIX
不会验证上游证书的合法性。因此,即使上游使用了无效的 TLS 证书,仍然可以访问它,无需配置根证书。
Review Comment:
```suggestion
`config-default.yaml` 中的 `ssl_trusted_certificate` 用于配置一个受信任的根证书。它仅用于在
APISIX 内部访问某些具有自签名证书的服务(例如 Keycloak)时,避免提示对方证书不合法。注意:它不用于信任 APISIX 上游的证书,因为
APISIX 不会验证上游证书的合法性。因此,即使上游使用了无效的 TLS 证书,APISIX 仍然可以与其通信,而无需配置根证书。
```
##########
docs/zh/latest/FAQ.md:
##########
@@ -707,6 +707,14 @@ make GOOS=linux GOARCH=amd64
prefix: "/apisix"
```
+## ssls 和 upstream 配置中的 tls.client_cert 以及 config-default.yaml 中的
ssl_trusted_certificate 它们的区别是什么?
+
+ssls 是通过 `/apisix/admin/ssls` 这个接口进行管理的。如果 APISIX 需要接收来自外网的 HTTPS
请求,那就需要用到存放在这里的证书来握手。SSLS 中可以配置多个证书,不同域名的证书 APISIX 将使用 Server Name Indication
(SNI) 来做区分。
+
+upstream 中的 `tls.client_cert` `tls.client_key` `tls.client_cert_id`。这里的证书实际上是
Client 端的证书,用于需要与上游进行 mTLS 通信的情况。
+
+config-default.yaml 中的 `ssl_trusted_certificate` 是配置一个受信任的根证书。它仅用于在 APISIX
内部访问某些具有自签名证书的服务(例如 Keycloak)时,避免提示对方证书不合法。需要注意的是,它不用于信任 APISIX 上游的证书,因为 APISIX
不会验证上游证书的合法性。因此,即使上游使用了无效的 TLS 证书,仍然可以访问它,无需配置根证书。
Review Comment:
To confirm: `避免提示对方证书不合法` means APISIX rejects the certificate?
--
This is an automated message from the Apache Git Service.
To respond to the message, please log on to GitHub and use the
URL above to go to the specific comment.
To unsubscribe, e-mail: [email protected]
For queries about this service, please contact Infrastructure at:
[email protected]
