问题标签 [mtls]

我正在使用 CA 认证的证书进行 MASSL 设置。我收到了内部包含 3 个证书的客户端证书 - 主机、中间和根。我信任信任库中的所有 3 个证书。

我真的需要信任所有 3 个证书或根证书/中间证书就足够了吗？

假设我有两个源 S1 和 S2 。两者都由同一个 CA 签署。我只在信任库中信任根证书。

源 S1 和 S2 都可以连接到我的应用程序吗？

我想限制源主机级别的连接，而不是根/CA 级别。我只想信任 S1。我如何设置仅信任 S1 的信任存储。

快速帮助将不胜感激。

问题：mtls 与 restclients ssl 握手
版本：helidonmp 1.4

我有一些 helidon-mp 服务部署到 oke 集群。我已经配置了 mtls。
将 CA 签名证书部署到容器 cacerts。
将使用服务名称作为主题替代名称的自签名证书部署到容器信任库

当来自 serviceA 的 restclient 尝试以 https 模式调用 serviceB 时面临的问题：

我已经使用 keytool 验证了主题替代名称是否存在。 问题：

1. 是否有指导方法与其他客户解决此问题？
2. 如何在 helidon mp restclients 中禁用主机名验证（临时措施）？

注意：只有在我部署到集群后才会遇到这个问题，它在我的开发机器上运行良好。谢谢

对于双向 TLS"ssl.client.auth"应设置为"required". 因此，如果我们尝试使用以下命令进行动态更新

已完成代理 117373 的更新配置。

代理 117373 的动态配置是：

动态命令执行成功，但在捕获的 tcpdump(pcap) 中“证书请求”未从下面的服务器发送

但是，如果我们手动更改并重新启动 Kafka，我们可以在 tcpdump 中看到来自服务器的“证书请求”。

请帮助解决更改“ssl.client.auth=Required”的动态更新

我正在尝试让 istio 入口网关将客户端证书转发到我的 mTLS 服务。我从页面尝试了以下配置。

如果我通过发送带有客户端证书的请求来使用 httpbin 服务进行测试，如下所示：

然后在响应中，我看到只有入口网关证书的 XFCC 标头。我在 XFCC 标头中没有看到客户端证书。

如何在 XFCC 标头中添加客户端证书？

使用https://docs.microsoft.com/en-us/aspnet/core/security/authentication/certauth?view=aspnetcore-5.0实施相互 TLS 时，我看到他们正在将客户端证书的指纹与客户端证书的指纹进行比较服务器证书。但是这些是否总是保证在生产中是相同的？不是一个只包含公钥，另一个包含私钥和公钥吗？如果是这样的话，他们不会有不同的指纹吗？

我有一堆 GRPC 微服务，它们使用自签名证书。我将身份验证信息添加到 GRPC 通道，然后用于识别端点并提供正确的服务。

现在我想迁移到 Istio mTLS。

在第一阶段，我让 Istio 绕过所有 GRPC 连接，并且我的服务像现在一样工作。

在第二阶段，我想将 TLS 移交给 Istio，但我被困在如何将身份验证信息传递给 GRPC？

您如何在 Istio mTLS 设置中处理身份验证？

GRPC 可以支持其他身份验证机制有没有人用它来向 GRPC 注入 Istio 身份验证信息？关于您如何在设置中实现此功能的任何其他建议

我正在使用 go-lang 以防万一这对提供任何其他信息有用。

谢谢

在我的 Rust Tonic 设置中，我在客户端和服务器之间配置了 mTLS（相互 TLS）身份验证。

现在，我想使用存储在客户端证书中的数据a）授权访问（拦截器）b）用于提供服务（即我想看看Hello PetrPetr是否正在连接）

我找不到任何关于此的示例，并且遍历 Tonic 源代码也对我没有帮助。

我尝试使用 OpenApi 3.0.0 制作 API 文档。我使用Cloudflare mTLS来确保 API 安全。如何将自定义 TLS 添加到 OpanApi 文件？

示例 CURL 请求：

我有一个 Apache CXF 客户端，它连接 SOAP 服务，并使用双向 TLS 进行身份验证。客户端在 TLS 握手期间失败，因为服务向服务器发送了一个空的客户端证书列表。我正在使用自签名证书对此进行测试，并且可以证明我的服务器可以使用 curl 请求和邮递员。我很确定证书设置正确，并且我确定我缺少 CXF 客户端中的配置步骤。

这是我的客户端设置方式

这是我创建证书的方式。我的 java 版本是 azul zulu openjdk 11。

-Djavax.net.debug=ssl,handshake,data我为服务器和客户端设置了调试。

当我使用 CXF 客户端向服务器发出请求时，它会启动相互 tls 握手，但服务器失败Fatal (BAD_CERTIFICATE): Empty server certificate chain，客户端失败Fatal (HANDSHAKE_FAILURE): Couldn't kickstart handshaking...readHandshakeRecord，因为它确实事先发送了一个空证书列表。

我尝试了许多不同的东西，但我似乎无法让客户工作。

更新 出于好奇，我从 CXF 存储库运行了ws-security 示例，并在示例中使用了我的 ca 证书、客户端和服务器证书。那行得通，它是通过 xml bean 配置的。我在本地尝试了同样的事情，但仍然失败。

演示和我的客户端之间的区别在于，当它查找 x.509 RSA 证书时，它对我的​​客户端失败，但在演示应用程序中成功。我的配置基本相同。

使用演示应用程序时不存在最后一个错误，而是返回证书。

在我使用 TLS 身份验证登录到我的保险柜后

我希望返回的令牌在~/.vault-token. 然而事实并非如此。例如，跑步$ vault status返回

我可以通过添加到每个后续请求来解决这个问题，-ca-cert=path/to/ca/cert但这并不理想。知道是什么原因造成的吗？