在模拟账户中尝试双向 TLS 并尝试了解验证的工作原理。我们正在使用将 signMessageWithX509Cert 属性设置为 true 的 eventNotifications。但是,不知道它是否正在工作,因为 DocuSign 没有提供有关它的信息。
问题:
回覆:
问:是否为模拟账户启用/可能启用 mTLS?
A. 是的,默认启用。
问:如果我有 signMessageWithX509Cert=true 并且我的侦听器中没有 mTLS,那么所有请求都以哪种方式通过?
答:是的。signMessageWithX509Cert仅启用Mutual TLS。相互 TLS 始终仅由请求客户端(DocuSign)证书的服务器(您的侦听器)发起。如果您的侦听器没有启动 mTLS,那么它就不会发生。
问:DocuSign 不验证?无论哪种方式,我都会收到所有事件,DocuSign 不会引发任何错误。
A. 相互 TLS 由您的侦听器启动和验证。您的侦听器会接收/检查任何 mTLS 错误/验证。如果您在 DocuSign 上启用 mTLS 并且不对您的侦听器进行任何 mTLS 检查,那么您应该期望您将收到所有 webhook 通知。
问:我们如何从 Connect 控制台中的 Docusign 日志中知道 mTLS 是否有效?
答:你不能。DocuSign(客户端)无法确定您的听众是否通过 mTLS 协议接受了 DocuSign 的证书。相互 TLS 由服务器(您的侦听器)控制/管理/实施。作为 mTLS 协议交换的一部分,DocuSign 将尽其所能响应您服务器的 mTLS 请求。然后您的服务器确定 DocuSign 的 mTLS 响应是否错误。
阅读我的博文Mutual TLS:了解更多信息。并查看开发者中心的文档。
相互 TLS 使您的听众能够检查客户端是否真的是 DocuSign。您的侦听器必须启动 mTLS 并验证/接受响应。