问题标签 [mtls]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

116 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
693 浏览

node.js - MTLS - 为nodejs客户端生成证书

我们需要通过 Mutual TLS 在我们的 ec2 服务器和我们的客户服务器之间进行通信。请求从我们的服务器发送到我们的客户服务器——所以我们是这里的客户。

我读了这篇文章,谈论如何生成文件。

第一步是创建客户端和服务器都信任的证书颁发机构 (CA)。CA 只是一个公钥和私钥,公钥包含在自签名的 X.509 证书中。

我们的证书和他们的证书 - 应该从同一个根 CA 签名吗?谁应该提供?

我这边的代码应该是这样的:

那么我们应该互相提供什么呢?我们不完全了解,他们没有提供更多细节,只是要求我们给他们一个证书......

0 投票
0 回答
73 浏览

networking - 使用 mTLS 进行深度数据包检测

问候和快乐星期五!

对于房间里的网络和/或 GRC 瘾君子,我有一个有趣的问题......

我有一个客户有以下要求:

  • 与某些合作伙伴的出站连接上的相互 TLS (mTLS)。
  • 对出站连接进行深度数据包检查以执行 DLP 扫描。

在我的一生中,我找不到任何支持这一点的供应商......但如果他们有要求,就必须有人在某个地方做这件事。

这里有人这样做吗?

0 投票
1 回答
89 浏览

ssl - IIS 是否允许客户端使用服务器证书作为客户端证书?

这是Use Server Certificate As Client Certificate的后续问题。我知道您应该使用客户端证书进行客户端身份验证。似乎某些服务器允许客户端提供实际上是“服务器证书”(OID - 1.3.6.1.5.5.7.3.1)的证书。

我的问题特别是 IIS 是否允许这样做?是否有决定这种行为的配置?

0 投票
0 回答
440 浏览

android - 读取错误:ssl=0x707d0912c8:系统调用期间的 I/O 错误,软件导致连接中止

我正在制作一个 Android 应用程序,我正在尝试在两个对等方之间设置 SSL 套接字。启动客户端和服务器时,我收到以下错误消息:读取错误:ssl=0x707d0912c8:系统调用期间的 I/O 错误,软件导致连接中止。有谁知道问题可能是什么?

客户端的代码是:

和服务器:

0 投票
0 回答
44 浏览

ssl - JWKS URI - 内部应用程序(设计查询) - 双向 TLS 是 JWKS URI 端点的最佳实践吗?

首先,如果这个问题不适合 Stackoverflow,我们深表歉意。这是设计/最佳实践问题,而不是编程问题。

安全堆栈交换是否适合这个问题?

JWKS URI 提供公钥,以便消费者可以验证 Auth Server 发布的 JWT 的签名。

通常,JWKS URI 是公开的(即面向 Internet 以便外部各方可以访问和下载密钥)。它们通常在 1way TLS(https - 允许客户端验证服务器证书)上公开。

如果我们托管一个内部 JWKS URI,以便我们的内部应用程序可以从该端点获取其密钥,我们是否可以继续为此端点使用单向 TLS,或者为 JWKS 引入双向 TLS (mTLS) 是否有任何价值URI 端点。

我没有看到将 mTLS 用于 JWKS URI 端点的价值,但是我看到一些供应商产品为其 JWKS 端点启用了 mTLS。

无法看到使用 mTLS 的价值。在这个领域是否有行业最佳实践或指导。我在我的谷歌搜索中找不到一个。

0 投票
1 回答
190 浏览

authentication - Istio 和 Hashicorp Vault:使用 SPIFFE 对 Vault 进行身份验证

我是 Hashicorp Vault 的新手。我想知道是否有办法利用 SPIFFE 协议自动通过 Vault 进行身份验证,因此基于 Vault 客户端的 mTLS 证书,Kubernetes/Istio 中的工作负载可以作为特定用户(实体?)或组访问 Vault。请求的 k8s 工作负载只能根据其 SPIFFE 身份的 Vault 权限访问 Vault 机密。

我希望不需要传递任何 Vault 凭据(令牌、密码等),并且仅在 mTLS 连接和 SPIFFE 协议上授予访问权限。这样的事情可能吗?如果 Vault 位于 Kubernetes 集群之外(因此不能有 Istio sidecar),有哪些选择?

如果我的要求是不可能的,一个不太理想的解决方案是更新应用程序代码,以基于 pod 的 k8s 服务帐户以某种方式通过 Vault 进行身份验证。Vault 提供哪些选项来执行此类操作?有没有这方面的好资源?

我很感激你提供的任何建议。

0 投票
1 回答
692 浏览

kubernetes - 如何使 Redis 与启用 mTLS 的 Istio 集群一起工作?

概括

我有一个简单的启用 Istio 的 k8s 集群,仅包含:

  • Java 网络服务器。
  • Redis 主实例。

通常,Web 服务器可以从 Redis 读取和写入。然而,Kiali 显示了一个类似于 ( https://kiali.io/documentation/latest/faq/#disconnected-tcp ) 的断开连接图。因此,我尝试使用 STRICT 模式显式打开 mTLS。但是,Kiali 似乎继续显示断开连接的图形

设置

  • Kubernetes 版本 1.18.0
  • Minikube 版本 1.18.0
  • Istio 1.9 版
  • Java 服务器代码片段 (redis.clients.jedis.Jedis)
  • mTLS

问题

  • 我的理解是,默认情况下,mTLS应该是默认开启的。非 HTTP TCP 流量不是这种情况吗?
  • 我需要做些什么来为非 HTTP TCP 流量启用 mTLS 吗?(例如,将Service 上的端口从6379 更改为443?设置一个VirtualService?)。
0 投票
0 回答
37 浏览

sslhandshakeexception - 如果 Mutual TLS 失败,对客户端的响应应该是什么?

客户端和服务器之间启用了 MTLS,如果客户端在调用启用 MTLS 的端点时未发送证书,那么服务器应将什么响应消息发送回客户端。

它应该是响应中的 HTTP 错误代码还是带有“SSL_ERROR_HANDSHAKE_FAILURE_ALERT”代码的通用错误消息。

0 投票
0 回答
51 浏览

c# - Azure WebApp 并调用受 mTLS 保护的 API

我有一个 Azure WebApp,它需要调用受 mTLS(2-way SSL)保护的 API。我需要了解以下内容:

  1. 我如何信任 API 提供者的证书?
  2. 如何从我的代码中调用 API?(即设置 mTLS 连接。)
0 投票
0 回答
57 浏览

asp.net-core - 如何将标头中的证书传递给 OpenId Provider

目前,我已使用客户端 ID 和客户端密钥成功连接到 OpenId 提供程序现在,我的提供程序更改为使用 mTLS,因此他们不使用客户端密钥并使用证书(来自 X-CERT 标头)。我的问题是:如何将证书值(例如:“XXX”)传递给名为“X-CERT”的 http 标头?


12345678910