Lorentz支持HTTPS双向认证与nck密钥管理集成方案.pdfVIP

NIP3:Lorentz:基于Openresty的HTTPS双向认证适配

状态(Status)

动机(Motivation)

现状

目标

公共接口(PublicInterfaces)

Lorentz支持HTTPS的client认证

Lorentz支持请求到上游服务时，实现HTTPS双向认证

使用nck管理

提案更改(ProposedChanges)

Lorentz网络拓扑扩展

Lorentz升级内容

兼容性，弃用和迁移计划(Compatibility,Deprecation,andMigrationn)

现有兼容性问题:

迁移计划

测试计划(Testn)

被的选择(RejectedAlternatives)

状态(Status)

Cuntt:已接受

Donted:Discussionlink

JRA:

新办告状决

期人人态结

INF_NEWTON-[lorentz]适配Maxwell双向HTTPS认证十二月21,一月18,完成

414的过程20172018

决

1问题

R:

动机(Motivation)

现状

目前公司采用的服务间调用认证方式为验签方式，但是此种方式存在如:密钥管理，数据未真正受到保护等问题。

目标

将Newton内基于管理的双向HTTPS认证方式拓展只边缘网关，支持不同Newton环境间的调用也可以使用相同的认证方式实现双向HTTPS的安全认证

公共接口(PublicInterfaces)

Lorentz支持HTTPS的ent认证

cl

client使用管理服务签发的，使用HTTPS双向认证的方式通过Lorentz不再同一环境中的微服务时，Lorentz需要进行client的认证

Loentz支持请求到上游服务时，实现HTTPS双向认证

Lorentz向在微服务环境中的服务发起请求时，需要使用Lorentz的作为客户端

使用nck管理

使用nck的管理作为Lorentz密钥管理服务

提案更改(ProposedChanges)

Lorentz网络拓扑扩展

Loentz升级内容

1.通过nginxconf实现对于clienthttps双向认证

2.通过nginxconf实现在上游服务是Newton中的maxwell服务时，使用https+client方式

3.向上游流量时，需要从将client中的CN内容增加到x-ag-client-cn的header中

4.动态控制对于上游采用http还是https的方式进行

5.强制某些服务在过渡阶段只接受https双向认证的请求的功能

6.nginx.conf配置目标见附件

兼容性，弃用和迁移计划(Compatibility,Deprecation,andMigr