Easegress项目HTTPS与Let's Encrypt证书自动化管理教程-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00087/article/details/148488843

Easegress项目HTTPS与Let's Encrypt证书自动化管理教程

easegress A Cloud Native traffic orchestration system 项目地址: https://gitcode.com/gh_mirrors/eas/easegress

前言

在现代Web服务中，HTTPS已成为保障数据传输安全的基本要求。Easegress作为高性能流量编排系统，提供了完善的HTTPS支持方案。本文将深入讲解如何在Easegress中配置HTTPS服务，并重点介绍利用Let's Encrypt实现证书自动化管理的完整流程。

HTTPS基础配置

Easegress的HTTPServer支持两种HTTPS配置方式，开发者可根据实际需求选择适合的方案。

手动证书配置

对于已有证书文件的情况，可采用手动配置方式：

name: demo-server
kind: HTTPServer
https: true
autoCert: false  # 明确关闭自动证书管理
certs:
  primary: |
    -----BEGIN CERTIFICATE-----
    <公钥内容>
    -----END CERTIFICATE-----
  secondary: |
    -----BEGIN CERTIFICATE-----
    <备用公钥内容>
    -----END CERTIFICATE-----
keys:
  primary: |
    -----BEGIN PRIVATE KEY-----
    <私钥内容>
    -----END PRIVATE KEY-----
  secondary: |
    -----BEGIN PRIVATE KEY-----
    <备用私钥内容>
    -----END PRIVATE KEY-----

关键参数说明：

certs字段用于配置一个或多个证书的公钥内容
keys字段对应每个证书的私钥内容
证书和私钥需要保持一一对应关系

自动证书管理配置

对于希望实现证书全自动管理的场景，只需简单启用autoCert选项：

name: demo-server
kind: HTTPServer
https: true
autoCert: true  # 启用自动证书管理

启用后，HTTPServer将自动与AutoCertManager协同工作，完成证书的申请、续期等全生命周期管理。

AutoCertManager深度解析

AutoCertManager是Easegress的核心控制器之一，负责与Let's Encrypt等CA机构交互，实现证书的自动化管理。其配置示例如下：

kind: AutoCertManager
name: global-cert-manager  # 全局唯一实例
email: admin@yourdomain.com  # CA机构联系邮箱
directoryURL: https://acme-v02.api.letsencrypt.org/directory
renewBefore: 720h  # 证书到期前30天开始续期
enableHTTP01: true  # 启用HTTP-01验证
enableTLSALPN01: true  # 启用TLS-ALPN-01验证
enableDNS01: true  # 启用DNS-01验证
domains:
  - name: "*.example.com"
    dnsProvider:
      name: dns-service  # DNS服务商名称
      zone: example.com  # DNS区域
      apiToken: <your-api-token>  # API访问令牌

关键配置项详解

证书验证方式
- HTTP-01验证：通过HTTP访问验证域名所有权
- TLS-ALPN-01验证：通过特殊TLS扩展验证
- DNS-01验证：通过DNS TXT记录验证
DNS提供商配置 支持主流DNS服务商，需提供：
- API访问凭证
- 域名解析区域(zone)
- 服务商特定参数
证书续期策略
- renewBefore参数控制续期提前时间
- 建议设置为证书有效期的1/3到1/2时间