问题标签 [mtls]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
node.js - MTLS - 为nodejs客户端生成证书
我们需要通过 Mutual TLS 在我们的 ec2 服务器和我们的客户服务器之间进行通信。请求从我们的服务器发送到我们的客户服务器——所以我们是这里的客户。
我读了这篇文章,谈论如何生成文件。
第一步是创建客户端和服务器都信任的证书颁发机构 (CA)。CA 只是一个公钥和私钥,公钥包含在自签名的 X.509 证书中。
我们的证书和他们的证书 - 应该从同一个根 CA 签名吗?谁应该提供?
我这边的代码应该是这样的:
那么我们应该互相提供什么呢?我们不完全了解,他们没有提供更多细节,只是要求我们给他们一个证书......
networking - 使用 mTLS 进行深度数据包检测
问候和快乐星期五!
对于房间里的网络和/或 GRC 瘾君子,我有一个有趣的问题......
我有一个客户有以下要求:
- 与某些合作伙伴的出站连接上的相互 TLS (mTLS)。
- 对出站连接进行深度数据包检查以执行 DLP 扫描。
在我的一生中,我找不到任何支持这一点的供应商......但如果他们有要求,就必须有人在某个地方做这件事。
这里有人这样做吗?
ssl - IIS 是否允许客户端使用服务器证书作为客户端证书?
这是Use Server Certificate As Client Certificate的后续问题。我知道您应该使用客户端证书进行客户端身份验证。似乎某些服务器允许客户端提供实际上是“服务器证书”(OID - 1.3.6.1.5.5.7.3.1)的证书。
我的问题特别是 IIS 是否允许这样做?是否有决定这种行为的配置?
android - 读取错误:ssl=0x707d0912c8:系统调用期间的 I/O 错误,软件导致连接中止
我正在制作一个 Android 应用程序,我正在尝试在两个对等方之间设置 SSL 套接字。启动客户端和服务器时,我收到以下错误消息:读取错误:ssl=0x707d0912c8:系统调用期间的 I/O 错误,软件导致连接中止。有谁知道问题可能是什么?
客户端的代码是:
和服务器:
ssl - JWKS URI - 内部应用程序(设计查询) - 双向 TLS 是 JWKS URI 端点的最佳实践吗?
首先,如果这个问题不适合 Stackoverflow,我们深表歉意。这是设计/最佳实践问题,而不是编程问题。
安全堆栈交换是否适合这个问题?
JWKS URI 提供公钥,以便消费者可以验证 Auth Server 发布的 JWT 的签名。
通常,JWKS URI 是公开的(即面向 Internet 以便外部各方可以访问和下载密钥)。它们通常在 1way TLS(https - 允许客户端验证服务器证书)上公开。
如果我们托管一个内部 JWKS URI,以便我们的内部应用程序可以从该端点获取其密钥,我们是否可以继续为此端点使用单向 TLS,或者为 JWKS 引入双向 TLS (mTLS) 是否有任何价值URI 端点。
我没有看到将 mTLS 用于 JWKS URI 端点的价值,但是我看到一些供应商产品为其 JWKS 端点启用了 mTLS。
无法看到使用 mTLS 的价值。在这个领域是否有行业最佳实践或指导。我在我的谷歌搜索中找不到一个。
authentication - Istio 和 Hashicorp Vault:使用 SPIFFE 对 Vault 进行身份验证
我是 Hashicorp Vault 的新手。我想知道是否有办法利用 SPIFFE 协议自动通过 Vault 进行身份验证,因此基于 Vault 客户端的 mTLS 证书,Kubernetes/Istio 中的工作负载可以作为特定用户(实体?)或组访问 Vault。请求的 k8s 工作负载只能根据其 SPIFFE 身份的 Vault 权限访问 Vault 机密。
我希望不需要传递任何 Vault 凭据(令牌、密码等),并且仅在 mTLS 连接和 SPIFFE 协议上授予访问权限。这样的事情可能吗?如果 Vault 位于 Kubernetes 集群之外(因此不能有 Istio sidecar),有哪些选择?
如果我的要求是不可能的,一个不太理想的解决方案是更新应用程序代码,以基于 pod 的 k8s 服务帐户以某种方式通过 Vault 进行身份验证。Vault 提供哪些选项来执行此类操作?有没有这方面的好资源?
我很感激你提供的任何建议。
kubernetes - 如何使 Redis 与启用 mTLS 的 Istio 集群一起工作?
概括
我有一个简单的启用 Istio 的 k8s 集群,仅包含:
- Java 网络服务器。
- Redis 主实例。
通常,Web 服务器可以从 Redis 读取和写入。然而,Kiali 显示了一个类似于 ( https://kiali.io/documentation/latest/faq/#disconnected-tcp ) 的断开连接图。因此,我尝试使用 STRICT 模式显式打开 mTLS。但是,Kiali 似乎继续显示断开连接的图形
设置:
- Kubernetes 版本 1.18.0
- Minikube 版本 1.18.0
- Istio 1.9 版
- 我按照 Istio 的入门页面安装 Istio。
- Java 服务器代码片段 (redis.clients.jedis.Jedis)
- mTLS
问题
- 我的理解是,默认情况下,mTLS应该是默认开启的。非 HTTP TCP 流量不是这种情况吗?
- 我需要做些什么来为非 HTTP TCP 流量启用 mTLS 吗?(例如,将Service 上的端口从6379 更改为443?设置一个VirtualService?)。
sslhandshakeexception - 如果 Mutual TLS 失败,对客户端的响应应该是什么?
客户端和服务器之间启用了 MTLS,如果客户端在调用启用 MTLS 的端点时未发送证书,那么服务器应将什么响应消息发送回客户端。
它应该是响应中的 HTTP 错误代码还是带有“SSL_ERROR_HANDSHAKE_FAILURE_ALERT”代码的通用错误消息。
c# - Azure WebApp 并调用受 mTLS 保护的 API
我有一个 Azure WebApp,它需要调用受 mTLS(2-way SSL)保护的 API。我需要了解以下内容:
- 我如何信任 API 提供者的证书?
- 如何从我的代码中调用 API?(即设置 mTLS 连接。)
asp.net-core - 如何将标头中的证书传递给 OpenId Provider
目前,我已使用客户端 ID 和客户端密钥成功连接到 OpenId 提供程序现在,我的提供程序更改为使用 mTLS,因此他们不使用客户端密钥并使用证书(来自 X-CERT 标头)。我的问题是:如何将证书值(例如:“XXX”)传递给名为“X-CERT”的 http 标头?