Utilización de TLS mutuo
La autenticación Mutual Transport Layer Security (mTLS) garantiza que el tráfico es seguro y fiable en las dos direcciones entre un cliente y un servidor. Sólo está disponible para clientes de cualquier nivel del plan Enterprise.
Cuando mTLS está configurado, el acceso solo se otorga a solicitudes con un correspondiente certificado de cliente. Cuando una solicitud llega a su aplicación, CIS responde con una solicitud del certificado del cliente. Si el cliente no presenta el certificado, la solicitud no puede proceder. De lo contrario, el intercambio de llaves procede.

Configuración de TLS mutuo
Mutual TLS no está habilitado de forma predeterminada. Es un servicio adicional que requiere autorización y habilitación previa y se habilita por dominio.
Para obtener autorización, cree un caso de asistencia.
Después de activar mTLS para su cuenta, siga los siguientes pasos para habilitarlo.
- Vaya a la página Seguridad de la consola CIS.
- Seleccione el separador Mutual TLS.
- Pulse Habilitar para habilitar la característica.
Después de activar mTLS, no se puede desactivar.
Para configurar la autenticación mTLS en la consola IBM CIS para un punto final concreto:
-
En la tabla de certificados raíz, pulse Añadir para definir un nuevo certificado raíz.
-
Pegue el contenido del certificado en el campo de contenido. Proporcione un nombre para la CA raíz y añada uno o varios nombres de dominio completos (FQDN) de los extremos que desea que utilicen este certificado. Estos FQDN son los nombres de host que se utilizan para los recursos protegidos por la política de aplicación. Debe asociar la CA Raíz con el FQDN utilizado por la aplicación protegida.
-
Pulse Guardar.
Si la zona está utilizando un certificado intermedio además del certificado raíz, cargue toda la cadena.
-
En la tabla de políticas de acceso de MTLS, cree una nueva aplicación de acceso que fuerce la autenticación mTLS. La aplicación debe crearse con un nombre de host que se haya asociado en el modal de carga del certificado. La sección de política se preestablece para imponer una decisión de
non_identity
y una reglainclude
para coincidir con cualquier certificado válido.
Comprobación del acceso a mTLS
El siguiente ejemplo utiliza curl
para probar la autenticación mTLS realizando peticiones con y sin certificado de cliente.
-
Intento de acceder al sitio sin un certificado de cliente.
Este ejemplo demuestra el uso de curl para probar el acceso a un sitio que impone mTLS. El destino URL en este ejemplo es
https://auth.example.com
.curl -sv https://auth.example.com
Dado que no se proporciona ningún certificado de cliente, se espera que la solicitud falle con una respuesta
403 Forbidden
. -
Añade tu certificado de cliente y clave privada a la solicitud:
curl -sv https://auth.example.com --cert example.pem --key key.pem
Si el cliente está correctamente autenticado, la respuesta incluye una cabecera
CF_Authorization Set-Cookie
, que indica que la autenticación mTLS se ha realizado correctamente.
Validación de TLS mutuo
Cuando habilite esta política de acceso, utilice el siguiente flujo de trabajo para validar los certificados de cliente:
Todas las solicitudes al origen se evalúan para un certificado de cliente válido.
- El cliente inicia una conexión enviando un mensaje
Hello
. - La aplicación de acceso responde con un
Hello
y solicita el certificado del cliente. - El cliente envía su certificado para su validación.
- El certificado del cliente se autentica contra la autoridad de certificación raíz configurada.
- Si se utiliza una cadena de certificados, el sistema también comprueba si hay certificados caducados y valida toda la cadena.
- Si el certificado del cliente es de confianza, se genera un Token Web JSON (JWT) firmado para el cliente que permite que la solicitud y las solicitudes posteriores sigan adelante.
- Si el cliente no presenta un certificado válido, el servidor devuelve una respuesta
403 Forbidden
.
Para recuperar certificados de acceso con la API, consulte Lista de certificados de acceso.