Configuration de TLS mutuel

Le protocole TLS mutuel n'est pas activé par défaut. Il s'agit d'un service supplémentaire qui nécessite une autorisation et une habilitation préalables et qui est activé par domaine.

Pour obtenir une autorisation, créez un dossier d'assistance.

Une fois le protocole mTLS activé pour votre compte, procédez comme suit pour l'activer.

1. Naviguez jusqu'à la page Sécurité dans la console CIS.
2. Sélectionnez l'onglet TLS mutuel.
3. Cliquez sur Activer pour activer la fonction.

Une fois que mTLS est activé, il ne peut plus être désactivé.

Pour configurer l'authentification mTLS dans la console IBM CIS pour un point de terminaison particulier :

1. Dans la table Certificats racine, cliquez sur Ajouter pour définir un nouveau certificat racine.

2. Collez le contenu du certificat dans le champ de contenu. Indiquez le nom de l'autorité de certification racine et ajoutez un ou plusieurs noms de domaine complets (FQDN) des terminaux qui doivent utiliser ce certificat. Ces FQDN sont les noms d'hôtes utilisés pour les ressources protégées par la stratégie d'application. Vous devez associer l'autorité de certification racine au FQDN utilisé par l'application à protéger.

3. Cliquez sur Sauvegarder.

   Si votre zone utilise un certificat intermédiaire en plus du certificat racine, téléchargez la chaîne entière.

4. Dans la table des stratégies d'accès MTLS, créez une application d'accès qui applique l'authentification mTLS. L'application doit être générée avec un nom d'hôte associé à la fenêtre modale de téléchargement du certificat. La section de la stratégie est prédéfinie pour appliquer une décision non_identity et une règle include pour qu'elle corresponde à un certificat valide.

Test de l'accès à mTLS

L'exemple suivant utilise curl pour tester l'authentification mTLS en effectuant des requêtes avec et sans certificat client.

1. Tentative d'accès au site sans certificat client.

   Cet exemple montre comment utiliser curl pour tester l'accès à un site qui impose mTLS. La cible URL dans cet exemple est https://auth.example.com.

   curl -sv https://auth.example.com
   

   Comme aucun certificat de client n'est fourni, la demande est censée échouer avec une réponse 403 Forbidden.

2. Ajoutez votre certificat client et votre clé privée à la demande :

   curl -sv https://auth.example.com --cert example.pem --key key.pem
   

   Si le client est correctement authentifié, la réponse comprend un en-tête CF_Authorization Set-Cookie, indiquant que l'authentification mTLS est réussie.

Validation de TLS mutuel

Lorsque vous activez cette politique d'accès, utilisez le flux de travail suivant pour valider les certificats des clients :

Toutes les demandes envoyées à l'origine sont évaluées à la recherche d'un certificat client valide.

1. Le client établit une connexion en envoyant un message Hello.
2. L'application d'accès répond par un Hello et demande le certificat du client.
3. Le client envoie son certificat pour validation.
4. Le certificat du client est authentifié par rapport à l'autorité de certification racine configurée.
5. Si une chaîne de certificats est utilisée, le système vérifie également si des certificats ont expiré et valide l'ensemble de la chaîne.
6. Si le certificat du client est fiable, un jeton Web JSON (JWT) signé est généré pour le client, ce qui permet à la demande et aux demandes ultérieures d'être traitées.
7. Si le client ne présente pas de certificat valide, le serveur renvoie une réponse 403 Forbidden.

Pour récupérer les certificats d'accès avec l'API, voir Liste des certificats d'accès.