Gegenseitige TLS konfigurieren

Das gegenseitige TLS ist standardmäßig nicht aktiviert. Es handelt sich um einen zusätzlichen Service, der vorab genehmigt und aktiviert werden muss.

Um eine Genehmigung zu erhalten, müssen Sie einen IBM Support-Fall einreichen.

Wenn mTLS für Ihr Konto eingeschaltet ist, müssen Sie die folgenden Aktivierungsschritte ausführen.

1. Navigieren Sie in der Konsole CIS zur Seite Sicherheit.
2. Wählen Sie die Registerkarte Gegenseitiges TLS aus.
3. Klicken Sie auf Aktivieren, um das Feature zu aktivieren.

Nachdem mTLS aktiviert wurde, kann es nicht mehr deaktiviert werden.

So richten Sie die Authentifizierung mTLS in der Konsole IBM CIS für einen bestimmten Endpunkt ein:

1. Klicken Sie in der Tabelle mit den Stammzertifikaten auf Hinzufügen, um ein neues Stammzertifikat zu definieren.

2. Fügen Sie den Zertifikatinhalt in das Inhaltsfeld ein, geben Sie einen Namen für die Stammzertifizierungsstelle an und fügen Sie mindestens einen vollständig qualifizierten Domänennamen (FQDN) für einen Endpunkt hinzu, der dieses Zertifikat verwenden soll. Diese FQDNs sind die Hostnamen, die für die durch die Anwendungsrichtlinie geschützten Ressourcen verwendet werden. Sie müssen die Root-CA mit dem FQDN verknüpfen, der von der zu schützenden Anwendung verwendet wird.

3. Klicken Sie auf Speichern.

   Falls in Ihrer Zone neben dem Stammzertifikat ein Zwischenzertifikat verwendet wird, laden Sie die gesamte Kette hoch.

4. Erstellen Sie in der Tabelle der MTLS-Zugriffsrichtlinien eine neue Zugriffsanwendung, die die mTLS-Authentifizierung durchsetzt. Die Anwendung muss mit einem Hostnamen erstellt werden, der im Modaldialog für das Hochladen des Zertifikats zugeordnet wurde. Der Richtlinienabschnitt ist voreingestellt, um die Entscheidung non_identity zu erzwingen und die include durchzusetzen, der jedes gültige Zertifikat entspricht.

Prüfung mit Hilfe von cURL

1. Testen Sie die Website, die mTLS verwendet, indem Sie versuchen, die Website ohne Client-Zertifikat aufzurufen. Dieses Beispiel für den Befehl curl bezieht sich auf die Website example.com, für die eine Zugriffsrichtlinie für https://auth.example.com festgelegt wurde:

   curl -sv https://auth.example.com
   

   Ohne ein Client-Zertifikat in der Anforderung wird eine Antwort 403 forbidden angezeigt, und der Zugriff auf die Website ist nicht möglich.

2. Fügen Sie die Informationen Ihres Clientzertifikats zu der Anforderung hinzu:

   curl -sv https://auth.example.com --cert example.pem --key key.pem
   

   Wenn der Authentifizierungsprozess erfolgreich abgeschlossen ist, wird in der Antwort ein Header 'CF_Authorization Set-Cookie' zurückgegeben.

Gegenseitiges TLS validieren

Folgen Sie diesem Validierungsablauf, wenn Sie die Zugriffsrichtlinie aktivieren:

1. Alle an den Ursprung gerichteten Anforderungen werden auf ein gültiges Clientzertifikat überprüft. Die Clientgerät sendet dem Client ein „Hello“. Die Zugriffsanwendung antwortet mit einem „Hello“ und einer Anforderung für das Clientzertifikat.
2. Der Client gibt ein gültiges Zertifikat zurück.
3. Der Handshake für die Clientauthentifizierung wird anhand der Stammzertifizierungsstelle geprüft und durchgeführt.
4. Für Ketten gibt es eine Prüfung auf abgelaufene Zertifikate. Die Kettenprüfung findet im Rahmen der Zertifikatvalidierung statt.
5. Wenn das Clientzertifikat vom Stammzertifikat anerkannt wird, wird ein signiertes JSON-Webtoken (JWT) für den Client generiert, das die Fortsetzung der Anforderung und nachfolgende Anforderungen zulässt. Wenn eine Anforderung kein gültiges Clientzertifikat enthält, wird in der Antwort 403 Forbidden zurückgegeben.