跳到主要内容

TLS 终止

概述

TLS 终止支持用户本地使用HTTPS 进行TLS加密转发,由用户存储并管理TLS证书,实现端到端的访问安全加密;在ZeroNews 边缘网络中,ZeroNews边缘节点始终透传TLS加密流量,对用户TLS访问流量不可见、确保数据无法窃取与篡改,满足企业级安全访问需求。

ZeroNews支持在Agent终止 及上游服务终止TLS

Agent终止:在Agent上终止TLS加密连接,你需要将TLS证书配置到Agent本地,对TLS流量进行加解密

上游服务终止:在您的上游服务终止TLS加密连接,Agent 只负责透传TLS流量到您的HTTPS服务,ZeroNews 对流量始终不可见

TLS 终止订阅

此功能默认订阅服务个人Pro+以上支持。

也可以通过独立订阅此功能,订阅步骤如下。

操作步骤:

① 打开集成菜单;

② 选择场景应用;

③ 在场景应用里找到 TLS 终止,并点击右上角的订阅/已开通图标;

④ 在打开的弹窗里,选择需要订阅的有效时间,例如180天,360天;

⑤ 然后点击“去支付”。

⑥ 支付成功之后,此功能即可开通。

开通成功之后,您可以在映射页面里找到 TLS 终止,并进行创建,步骤可参考如下“操作示例”

备注:

1. 此功能必须拥有自有域名配合,需要配置自有域名才能使用。不支持独立使用。

TLS 终止模式

ZeroNews 支持多种TLS终止模式,如在ZeroNews边缘节点,传输链路的 Agent 或上游服务端终止TLS加密,消除传输过程中明文传输风险。

1、ZeroNews 边缘终止

**核心原理:**TLS在 ZeroNews 全球边缘节点解密,解密后的流量通过加密隧道(如zeronews tunnel协议)转发至用户内网服务。

配置特点

  • 无需证书管理: 使用ZeroNews默认证书(如 *.takin.cc 泛域名证书),用户无需操作。

  • 适用场景: 测试环境、临时演示、无需自定义域名的快速接入。

  • 性能优势: 边缘节点就近处理 TLS 握手,降低延迟。

2、ZeroNews Agent 终止

**核心原理:**由用户自行管理证书,在Agent本地配置要终止TLS流量的域名证书, 完成对用户访问的TLS流量进行解密,并将解密后的流量转发至用户内网服务,同时将内网服务响应的流量进行加密转发。

配置特点

  • 应用透明性 :使用 ZeroNews Agent 处理TLS握手、证书验证及加解密,后端服务无需集成TLS库等逻辑,降低应用复杂度。

  • 安全隔离 :私钥仅存储在 Agent,后端应用无法接触私钥,降低密钥泄露风险。

  • 性能优化 :TLS加解密消耗大量CPU资源,ZeroNews Agent 独立承担此开销,释放后端服务的计算资源.

3、上游服务终止

核心原理:始终由用户自行管理证书,ZeroNews对证书不可见,TLS流量在用户上游服务(如Nginx/Apache)进行加解密,ZeroNews边缘网络及Agent仅作为流量透传,全程不接触明文数据,对数据不可见,实现端到端的安全加密转发。

配置特点

  • 零证书依赖:ZeroNews不参与TLS证书配置,用户自行管理,不用担心证书泄露的风险。

  • 高安全 : ZeroNews 始终透传TLS 加密流量,对数据不可见,TLS端到端安全转发

  • 适用场景: 已部署商业证书(如DigiCert、GlobalSign)

4、三种模式技术对比

维度边缘终止Agent 终止上游服务终止
解密位置ZeroNews边缘节点ZeroNews Agent用户服务端
证书管理方ZeroNews用户(自动/手动)用户
适用协议HTTPSHTTPSHTTPS
合规性通用场景医疗/政府金融/军事
延迟优化⭐⭐⭐(边缘节点优化)⭐⭐⭐⭐(本地解密)⭐⭐(依赖服务端性能)

操作示例

假设您想通过实现TLS终止功能,你可以按照如下步骤进行操作:

① 先添加您的自定义域名并配置HTTPS:443端口,具体操作步骤可以参考自定义域名;(不需要为自定义域名配置TLS证书)

② 在自定义映射页面,点击创建映射;

③ 在创建映射弹窗,设备(Agent)选择您需的设备(Agent);

④ 协议选择 TLS

⑤ 公网访问地址为第一步创建好的域名;

⑥ 内网IP地址:选择内服务的 IP 地址;

⑦ 内网端口:选择内网服务的端口。

⑧ 选择TLS终止位置

一、在 ZeroNews Agent 终止

即TLS在ZeroNews Agent进行解密,解密后的数据会通过ZeroNews的加密隧道回传到服务端。

  1. 该自定义域名需要在ZeroNews平台上传证书

  2. 需要上传公钥证书和私钥证书

二、在上游服务终止

即TLS在上游服务(用户服务端)进行解密。ZeroNews 平台不参与数据任何加密解密过程。

  1. 无需再ZeroNews平台上传证书。

⑨ 根据您的需求,在上述两者之间选其中一种终止方式,然后点创建。

⑩ 按照上述的步骤,即可创建一条配置好的 TLS 终止映射

备注: 1. 证书处理原则

  • 上游服务终止模式:无需上传证书
  • Agent终止模式:自动签发证书无需操作,手动证书需包含完整链

*2. 端口冲突规避 *

  • 若该自定义域名(HTTPS:443)已创建了HTTPS协议的映射,则不能再创建TLS终止映射。