Kong - 验证 upstream 的 SSL (ssl_proxy on)

我本想让你以另一种方式来做：让你的后端服务在与Kong联系时验证Kong是否拥有特定的SSL证书，这样只有Kong才能连接到你的服务，并且任何API客户端都必须通过Kong来连接。

我们在wicked.haufe.io上通过Kong 0.11.0实现了这一点，你可以在这里找到一个合适的nginx_conf.lua文件：https://github.com/apim-haufe-io/wicked.kong/blob/master/templates/nginx_kong.lua

有趣的部分是：

proxy_ssl_certificate /root/proxy-cert.pem;
proxy_ssl_certificate_key /root/proxy-key.pem;

这指定了nginx用于代理呼叫后端服务的证书和密钥。Kong也会遵循此规定。

通过检查我们为wicked.haufe.io 的Kong docker镜像所做的内容，您应该能够根据自己的需求进行调整；另一个有趣的部分是startup.sh，其中证书/密钥从环境变量中提取，并添加到/root/proxy-...pem文件中。

请注意 kong 配置中关于 client_ssl 的注释：

如果启用了 client_ssl，则需要指定客户端 SSL 证书的绝对路径，以在 proxy_ssl_certificate 指令中使用。请注意，此值在节点上是静态定义的，目前无法对每个 API 进行配置。

目前这是不可行的。

我通过设置以下环境变量，已经成功让它在Kong 0.14.x上运行：

KONG_NGINX_HTTP_PROXY_SSL_VERIFY: "on"
KONG_NGINX_HTTP_PROXY_SSL_TRUSTED_CERTIFICATE: "/mnt/certs/ca.crt"

（将后者调整为指向您的自定义CA证书文件。）

这使用“KONG_NGINX_HTTP_”前缀设置任意的nginx 'http'设置。

然而，在Kong 1.0.x上似乎不起作用。目前正在尝试为此找到解决方案...