Keyless无私钥驻留
更新时间:2022-12-06 15:42:56
什么是Keyless无私钥驻留
传统的CDN HTTPS加速,需要将SSL证书和证书私钥文件均部署在CDN平台上。若您出于私钥安全管控的要求,不便将证书私钥部署到外部网络或云服务上,但又需要开启HTTPS安全加速连接,就可以选择使用全站加速提供的Keyless无私钥驻留服务。此时,您仅需在全站加速平台部署证书及证书链公开信息,证书私钥部署在KeyServer服务器上由您自行管理,全站加速节点和KeyServer服务器之间采用Keyless技术协同完成SSL握手通信过程,以此防止证书私钥泄露,提升证书秘钥管理安全性的同时实现HTTPS请求安全加速。全站加速Keyless无私钥驻留具备如下特性:
- 证书私钥集中管理,防止私钥泄露;
- 支持开启回源双向认证,保障私钥服务器安全;
- 请求收敛至父节点回源,支持HTTP2.0,提升传输效率并降低KeyServer负载;
- 支持证书类型:国际通用算法RSA / ECC;国产密码算法SM2签名 / SM2加密
- 若您是银行、证券、政务云等金融及政企客户,并需要严格管控证书私钥不外泄,我们推荐您使用全站加速Keyless服务。本文将为您介绍如何快速配置使用Keyless无私钥驻留服务。
温馨提示:Keyless无私钥驻是全站加速的增值服务,您需先联系网宿商务进行服务开通,并获取软件安装包。
快速配置说明
当您初次配置使用keyless服务时,您主要需执行如下3个操作步骤以实现Keyless无私钥驻留加速:
步骤1:KeyServer私钥服务器配置
1.1 服务器环境准备
全站加速Keyless无私钥驻留服务需要您私有化部署并管理您的证书私钥,因此需要您自行准备、维护KeyServer服务器,并部署网宿keyless软件包,用于管理您的私钥。
- 服务器:您需要提前准备KeyServer服务器,需要考虑服务器的负载均衡,例如准备多线机房,支持多服务器负载均衡等;
- 网络环境:您需要提供访问KeyServer的服务器地址,可以是服务器外网出口IP,也可以是外网服务域名。其中:
- 若是出口IP:可以在全站加速平台上配置访问KeyServer服务器的回源负载均衡策略。稍后我们会在本文中转域名配置章节为您介绍。
- 若是服务域名:需要申请一个可在公网解析访问的服务域名,域名申请完成后配置解析到KeyServer的服务器IP,此处可以在服务域名的云解析平台上配置DNS负载均衡解析策略。
- 操作系统环境:Linux(CentOS 6.* 、7.;RedHat 6.,7.*)。
- 硬件设备绑定核数:根据预估的keyserver最高并发数来评估设备需要绑定的核数。其中:
- keyServer最高并发数预估:①非国密请求:keyServer最高并发数 ≈ 访问CDN边缘的用户请求并发数;②国密请求:keyServer最高并发数 ≈ 访问CDN边缘的用户请求并发数 * 2 。
- 并发值及其绑定的硬件设备核数推荐:
| 并发区间(qps) | 核数推荐 |
|---|---|
| 0< X ≤75 | Y≥1核 |
| 75< X ≤250 | Y≥2核 |
| 250< X ≤1500 | Y≥4核 |
| 1500< X ≤4000 | Y≥8核 |
| 4000 < X | Y≥ X / (4000/8) |
| 备注 | 达到最高并发时,CPU预计跑满80%。X指的是最高并发值,Y指的是推荐的机器核数 |
- 安装包准备:下载keyless软件安装包(请联系网宿技术支持获取)。keyless软件默认配置如下:
- 私钥服务器:nginx
- 默认设备绑定核数:7核(预计可承载的业务并发3500qps左右)
- https端口:443
- CDN和私钥服务器双线认证:默认关闭
1.2 配置与安装
若keyless软件默认配置可满足您的需求,您可直接执行此配置与安装过程。以下为您介绍如何快速安装。
- 安装服务器RPM包。执行安装指令示例:
rpm -ivh shark-keyless-2.1.0-1.d19kl.gm_keyless.el7.x86_64。操作成功反馈示例如下:
- 放置证书私钥。将证书私钥文件(.key)放置至目录
/usr/local/shark-keyless/etc/ssl_key/。(私钥文件可以自行命名,支持同时放置4种类型证书私钥:RSA证书私钥(rsa.key)、ECC.证书私钥(ecc.key)、SM2签名证书私钥(sm2_sign.key)、SM2加密证书私钥(sm2_enc.key)默认情况下您防止RSA证书私钥即可,若您有国密Keyeless无私钥驻留需求,可另外放置SM2签名证书私钥和SM2加密证书私钥)。证书文件放置好后,进入ssl_key目录,执行查看指令ll确认是否放置成功。操作成功反馈示例如下:
- 启动私钥服务器。执行启动指令:
service keyless restart。操作成功反馈:私钥服务器安装并启动成功!示例如下:
温馨提示:若您有其他配置需求,如需要自定义配置KeyServer机器核数、端口号、配置多域名、开启回KeyServer双向认证、开启回KeyServer采用HTTP2.0等,请联系网宿技术支持为您指导配置。
步骤2:中转域名配置
您需要先申请一个中转域名,将其配置到全站加速节点上,同时,将该域名的回源地址指向KeyServer服务器回源地址,并配置回源策略。以下为您介绍如何配置中转域名。
- 添加中转域名。前往全站加速控制台【自助配置】页面,点击【新增域名】按钮,添加中转域名。如下:
- 填写域名信息。在“域名”填写框下填写中转域名,在“回源IP/域名”填写框上填写KeyServer服务器地址,可以是KeyServer的服务器出口IP,也可以是KeyServer的服务器服务域名。示例如下:
- 配置缓存规则。点击加速配置下的“自定义配置”按钮,再点击“缓存规则”的“新增”按钮,新增一条转存规则,配置“/keyless/”目录不缓存。示例如下:
- 配置提交。上述配置完成后,点击页面下方的“提交”按钮,执行域名的新增部署操作。配置示例如下:
- 回源策略(可选)。若您需要自定义配置回KeyServer源站的回源策略,例如高级源策略、回源HOST、回源端口号、开启回源双向认证、开启回源HTTP2.0等,您可以在域名列表下选择刚刚添加的中转域名,然后点击“批量换源”或者“配置修改”按钮,配置更灵活的回源策略,您也可以请联系网宿技术支持为您指导配置。
步骤3:加速域名配置
您需要为您的加速域名配置证书文件,并开启Keyless配置。以下为您介绍如何配置加速域名。
当前Keyless的加速域名配置暂不支持自助,请联系您的技术支持为您在后台进行如下配置:
- 上传证书文件并关联加速域名。配置证书CRT文件和证书CA文件并部署到加速域名配置下,此处无需配置证书私钥文件,因此我们在KeyServer服务器配置这个步骤中,已经导入了私钥文件。
- 开启Keyless配置。配置开启Keyless配置,并将Keyless服务地址配置指向中转域名地址。
证书到期维护
当您加速域名的证书到期时,网宿平台会给提前给您发送证书到期提醒。当前收到证书到期提醒时,请您提前为您的证书需求,并请务必先在KeyServer上新增私钥并reload,然后再更新CDN节点上的证书文件。操作步骤如下:
- 先在keyserver的
/usr/local/shark-keyless/etc/ssl_key/目录下防止新的私钥文件; - 执行reload指令
service keyless reload重新加载配置; - 在CDN上更新证书crt文件。