Redis集群开启TLS加密配置SSL证书方法

Redis 6.0+ 集群启用TLS加密需严格满足版本、编译与OpenSSL依赖（≥1.1.1），所有节点必须统一使用同一CA证书并完整配置五大核心参数（tls-cert-file、tls-key-file、tls-ca-cert-file、tls-cluster yes、tls-replication yes），不支持混搭模式；客户端连接须显式指定--cacert且注意集群发现阶段的协议升迁问题；证书更新必须通过滚动重启完成，任何环节（如CA不同步、漏配参数、私钥带密码或相对路径）都会导致握手失败、集群分裂或加密失效——真正的安全始于严谨的全链路配置与持续的证书生命周期管理。

Redis 6+ 集群开启 TLS 的前提条件

必须用 Redis 6.0 及以上版本，且编译时启用了 OpenSSL 支持（make BUILD_TLS=yes）。旧版 Redis 不支持集群节点间 TLS，强行配置会启动失败或握手超时。检查方法：redis-server --version 看是否含 TLS 字样；没看到就重编译，别硬配。

• OpenSSL 版本需 ≥ 1.1.1（推荐 1.1.1w 或 3.0.x）
• 集群所有节点必须使用同一套 CA 根证书，否则 cluster meet 会因证书校验失败拒绝握手
• 不支持单节点启用 TLS、其他节点不启用的混搭模式——集群通信是全链路加密，一节点不加，整个集群 TLS 握手就断

配置 redis.conf 的关键 TLS 参数

每个节点的 redis.conf 必须显式设置以下参数，缺一不可。路径务必写绝对路径，相对路径在 systemd 或 Docker 中极易失效：

• tls-cert-file /etc/redis/tls/redis.crt：服务端证书（含完整证书链，即把中间 CA 拼在 server.crt 后面）
• tls-key-file /etc/redis/tls/redis.key：私钥（不能带密码，否则启动卡住）
• tls-ca-cert-file /etc/redis/tls/ca.crt：CA 根证书（用于验证其他节点和客户端证书）
• tls-cluster yes：强制开启集群节点间 TLS（默认 no，不设这个，集群照样走明文）
• tls-replication yes：主从复制也走 TLS（建议开启，否则主从流量裸奔）

注意：tls-port 是可选的，但一旦设了，就必须用新端口（如 6380），原 port 仍为非 TLS 端口——生产环境严禁双协议共存，容易误连。

客户端连接集群时的常见错误与绕过点

用 redis-cli 连 TLS 集群，不是加 --tls 就完事。典型报错：Error: Connection reset by peer 或 SSL handshake failed，多数因为：

• 没传 --cacert：必须指定 CA 文件，redis-cli -c --tls --cacert /path/to/ca.crt -h node1 -p 6379
• 集群发现阶段仍走明文：redis-cli 默认先连一个节点查 slots，再跳转。若该节点返回的跳转地址仍是 redis://，客户端不会自动升 TLS。解决办法是加 --tls-sni 或确保所有节点配置中 cluster-announce-ip 和 cluster-announce-port 显式指向 TLS 端口
• Java 客户端（如 Lettuce）需显式设置 SslConfiguration，且信任库必须包含同个 ca.crt，否则抛 javax.net.ssl.SSLHandshakeException

证书更新与滚动重启的实操约束

集群里换证书不能直接 reload，必须滚动重启节点。过程中最易忽略的是：新证书生效前，老节点仍用旧证书对外提供服务，但新节点已用新证书——此时若 CA 未统一更新，跨节点握手立即失败。

• 必须先停掉一个节点，替换全部证书文件（tls-cert-file、tls-key-file、tls-ca-cert-file），再启动
• 等该节点加入集群、状态变为 connected 后，再操作下一个节点
• 切勿批量停多个节点——集群最小可用节点数低于 quorum（默认 N/2+1）会导致整个集群不可写
• 证书有效期快到前，提前 7 天更新 CA 和所有节点证书，别等到 verify error:num=10:certificate has expired 报出来才动手

集群 TLS 不是“配完就安全”，证书生命周期管理、节点间 CA 同步、客户端适配这三块漏掉任何一环，都可能让加密形同虚设。

今天关于《Redis集群开启TLS加密配置SSL证书方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！