redis_tls

1 TLS 说明

TLS（Transport Layer Security）加密协议，TLS协议具有比SSL（Secure Sockets Layer）协议更好的加密技术和更高级别的安全性，可进一步保障数据通信安全。

TLS协议是SSL协议的升级版，当前已成为互联网加密通信的标准协议，在现代网络中被广泛使用。以下是TLS相对SSL的一些优势：

加密强度：TLS协议使用更强大的加密技术，例如AES（Advanced Encryption Standard）算法。
安全性：TLS协议采用更安全的算法和协议，例如SHA-2（Secure Hash Algorithm 2）算法。
兼容性：TLS协议是更现代化的协议，更加兼容现代浏览器和服务器，且支持更广泛的加密协议和密码套件。
安全更新：TLS协议支持实时升级加密算法和协议。

1.1 单向认证和双向认证

在单向认证中，只有 Redis 服务器需要提供证书，客户端会验证服务器的身份，而服务器不会对客户端进行身份验证。

双向认证要求客户端和服务器都提供证书，并且双方都会验证对方的身份。这种认证方式提供了更高的安全性，确保只有经过授权的客户端才能连接到 Redis 服务器。

下面例子中为单向认证例子。

2 服务端启用 TLS

2.1 创建私钥

openssl genrsa -out redis.key 2048

2.2 通过私钥生成一个自签名证书

openssl req -new -x509 -days 365 -key redis.key -out redis.crt

2.3 修改配置

单向认证 Redis Server 仅需要配置 tls-cert-file、tls-key-file

双向认证 Redis Server 需要配置 tls-cert-file、tls-key-file、tls-ca-cert-file

https://redis.io/docs/latest/operate/oss_and_stack/management/security/encryption/

tls-port 6379
tls-cert-file /path/to/redis.crt
tls-key-file /path/to/redis.key

`tls-cert-file /path/to/redis.crt`

作用：指定 Redis 服务器的 TLS 证书文件路径。
证书内容：
- 该文件应包含 Redis 服务器的公钥证书（通常为 PEM 格式）。
- 证书需由受信任的证书颁发机构（CA）签发，或为自签名证书。
用途：
- 客户端通过此证书验证 Redis 服务器的身份。
- 证书中的 Subject Alternative Name (SAN) 或 Common Name (CN) 需与 Redis 服务器的域名或 IP 匹配。

`tls-key-file /path/to/redis.key`

作用：指定 Redis 服务器的 TLS 私钥文件路径。
私钥内容：
- 该文件应包含与证书（redis.crt）对应的私钥（PEM 格式）。
- 私钥必须严格保密，仅限 Redis 进程访问。
用途：
- 用于加密客户端与服务器之间的通信。
- 在 TLS 握手过程中，服务器使用私钥证明对证书的所有权。

`tls-ca-cert-file /path/to/ca.crt`

作用：指定受信任的 CA 证书文件路径。
CA 证书内容：
- 该文件应包含签发 Redis 服务器证书的根 CA 或中间 CA 的公钥证书（PEM 格式）。
- 如果是自签名证书，需将自签名证书作为 CA 证书配置。
用途：
- Redis 服务器使用此 CA 证书验证客户端证书（如果启用双向认证）。
- 客户端也会使用此 CA 证书验证服务器证书（除非客户端配置了其他信任链）。

3 客户端连接

#!/bin/python
from xlib.db import redis

# 设置连接信息，分别将host、port、password的值分别替换为实例的连接地址、端口号、密码。
# ApsaraDB-CA-Chain.pem为证书文件名称。
client = redis.Redis(host="127.0.0.1", port=6379,
                     password="xxxx", ssl=True,
                    ssl_cert_reqs="required",
                    ssl_ca_certs="ca.pem")
                    
client.set("hello", "world")
print client.get("hello")

4 常见报错

4.1 服务端未配置 TLS

Traceback (most recent call last):
  ...
  File "/butterfly/xlib/db/redis/connection.py", line 641, in connect
    raise ConnectionError(self._error_message(e))
xlib.db.redis.exceptions.ConnectionError: Error 1 connecting to 127.0.0.1:6379. _ssl.c:504: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol.

4.2 客户端证书过期

Traceback (most recent call last):
  ...
  File "/butterfly/xlib/db/redis/connection.py", line 641, in connect
    raise ConnectionError(self._error_message(e))
xlib.db.redis.exceptions.ConnectionError: Error 1 connecting to 127.0.0.1:6379. _ssl.c:504: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed.

Previousredis_config NextRedis ORM

Last updated 8 months ago

hashtag1 TLS 说明

hashtag1.1 单向认证和双向认证

hashtag2 服务端启用 TLS

hashtag2.1 创建私钥

hashtag2.2 通过私钥生成一个自签名证书

hashtag2.3 修改配置

hashtagtls-cert-file /path/to/redis.crt

hashtagtls-key-file /path/to/redis.key

hashtagtls-ca-cert-file /path/to/ca.crt

hashtag3 客户端连接

hashtag4 常见报错

hashtag4.1 服务端未配置 TLS

hashtag4.2 客户端证书过期