如何在 Redis 上配置 SSL/TLS ?
在数据泄露非常普遍的时代,数据安全传输对于各种规模的应用程序来说都变得至关重要。
Redis 作为一种非常流行的内存数据结构存储,被广泛用于缓存、消息代理和数据库。鉴于其广泛使用,使用SSL/TLS 加密保护 Redis 连接,对于保护敏感数据免受窃听和中间人攻击是至关重要的。
本指南提供了全面的如何使用 SSL/TLS 保护 Redis 部署的加密演练。
Step 1: 生成 SSL 证书
(1) 创建证书颁发机构 (CA)
openssl req -new -x509 -days 365 -keyout ca.key -out ca.crt -subj "/CN=Redis CA"
(2) 生成服务端证书和私钥
openssl genrsa -out redis.key 2048
openssl req -new -key redis.key -out redis.csr -subj "/CN=redis.example.com"
openssl x509 -req -in redis.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out redis.crt -days 365
Step 2: 配置 SSL/TLS
(1) 找到并编辑您的 redis.conf 文件,通常位于 /etc/redis/redis.conf
nano /etc/redis/redis.conf
(2) 找到 redis.conf 文件并编辑它,添加 SSL 证书、私钥和 CA 证书的路径。
port 0
tls-port 6379
tls-cert-file /path/to/redis.crt
tls-key-file /path/to/redis.key
tls-ca-cert-file /path/to/ca.crt
(3) 重新启动 Redis 服务器,应用更改
systemctl restart redis
Step 3: 使用 SSL/TLS 连接 Redis
当使用 SSL/TLS 连接 Redis 时,确保您的 Redis 客户端支持 SSL连接,在建立连接时指定 SSL 参数:
Using redis-client
使用 redis-cli 连接使用 SSL/TLS 加密的 Redis 服务器,请使用命令:
redis-cli -h your.redis.host -p 6379 \
--tls --cert /path/to/redis.crt \
--key /path/to/redis.key \
--cacert /path/to/ca.crt ping
Using Python
以下 Python 脚本将通过 SSL/TLS 加密连接 Redis Server
import redis
r = redis.Redis(
host='redis.example.com',
port=6379,
ssl=True,
ssl_ca_certs='/path/to/ca.crt',
ssl_certfile='/path/to/redis.crt',
ssl_keyfile='/path/to/redis.key'
)
print(r.ping())
Redis SSL/TLS 最佳实践
- 保持您的 SSL 证书是最新的,以避免服务中断。
- 配置 Redis 使用强密码套件进行加密。
- 关注 Redis 或 SSL/TLS 协议中的任何安全漏洞,并根据需要应用更新。
我的开源项目
- course-tencent-cloud(酷瓜云课堂 - gitee仓库)
- course-tencent-cloud(酷瓜云课堂 - github仓库)