Configurazione di TLS reciproco

Mutual TLS ( mTLS ) fornisce un'autenticazione client basata su certificati per una maggiore sicurezza. mTLS non è abilitato per impostazione predefinita e richiede un'autorizzazione preventiva su base individuale. Per configurare mTLS,, procedere come segue:

1. Richiesta di autorizzazione. Create un caso di assistenza per richiedere l'abilitazione di mTLS per il vostro account IBM Cloud.

   Dopo che l' mTLS e è stato attivato, non può essere disattivato.

2. Abilitazione mTLS:

   1. Nella console CIS, fare clic su Sicurezza, quindi selezionare la scheda Mutual TLS.
   2. Fai clic su Enable.

3. Caricare i certificati di radice:

   1. Nella tabella Certificati radice della pagina Mutual TLS, fare clic su Aggiungi per definire un nuovo certificato radice.

   2. Incollare il contenuto del certificato nel campo Contenuto del certificato. Fornire un nome per il certificato della CA radice e aggiungere uno o più nomi di dominio completamente qualificati (FQDN) degli endpoint che utilizzeranno questo certificato.

      Questi FQDN sono i nomi di host utilizzati dalle risorse protette dal criterio applicativo mTLS. È necessario associare la Root CA all'FQDN utilizzato dall'applicazione protetta.

   3. Fare clic su Salva.

      Se si utilizza un certificato intermedio, caricare l'intera catena di certificati.

4. Creare un criterio di accesso mTLS:

   1. Nella tabella dei criteri di accesso MTLS della pagina Mutual TLS, fare clic su Crea per creare un'applicazione di accesso.

   2. Selezionare o inserire un hostname che corrisponda a uno degli FQDN associati al certificato radice caricato e fare clic su Crea.

      Il criterio di applicazione è preimpostato per utilizzare una decisione di non_identity e include una regola che corrisponde a qualsiasi certificato client valido.

5. Abilitare l'inoltro del certificato client con l'API:

   Per inoltrare i certificati client convalidati al server di origine (utile per la registrazione, la verifica o l'autenticazione back-end), è necessario abilitare l'inoltro.

   Il certificato del client viene inoltrato solo con la prima richiesta in ogni connessione mTLS.

   Per un esempio di API curl per abilitare l'inoltro dei certificati client, vedere Aggiornamento delle impostazioni dei certificati di accesso API.

   Intestazioni del certificato del client inviate al server di origine:

   • Cf-Client-Cert-Der-Base64: Base64-encoded Versione DER del certificato del cliente
   • Cf-Client-Cert-Sha256: SHA-256 impronta digitale del certificato client

   Per verificare lo stato di inoltro con l'API:

   curl -X GET https://api.cis.cloud.ibm.com/v1/crn:v1:bluemix:public:internet-svcs:global:a/<account-id>:<instance-id>::/zones/<zone-id>/access/certificates/settings \
    -H 'X-Auth-User-Token: Bearer <IAM-TOKEN>'
   

6. Creare una regola personalizzata del WAF per bloccare le richieste non autenticate:

   Per migliorare la sicurezza, soprattutto per gli endpoint sensibili come i percorsi di accesso o le API, creare una regola WAF per bloccare le richieste che non presentano un certificato client valido.

   1. Nella console CIS, tornare alla sezione Sicurezza e selezionare la scheda Regole personalizzate.

   2. Fai clic su Crea.

   3. Nel pannello laterale Crea regola personalizzata WAF, fare clic su Usa editor di espressioni.

   4. Inserire la seguente condizione (aggiornare hostname e path se necessario) nel campo Use Expression Builder.

      (http.host eq "example.com" and http.request.uri.path eq "/authenticate" and not cf.tls_client_auth.cert_verified)
      

   5. Impostare l'azione su Blocca.

   6. Fai clic su Crea.

   Questa regola consente l'accesso per l'autenticazione solo se il certificato del client viene verificato con successo. Le richieste senza mTLS o con certificati non validi vengono bloccate.
   

Verifica dell'accesso a mTLS

L'esempio seguente utilizza curl per testare l'autenticazione mTLS effettuando richieste con e senza un certificato client.

1. Tentativo di accesso al sito senza un certificato client.

   Questo esempio dimostra l'uso di curl per testare l'accesso a un sito che applica mTLS. Il target URL in questo esempio è https://auth.example.com.

   curl -sv https://auth.example.com
   

   Poiché non è stato fornito alcun certificato client, si prevede che la richiesta fallisca con una risposta 403 Forbidden.

2. Aggiungere il certificato e la chiave privata del client alla richiesta:

   curl -sv https://auth.example.com --cert example.pem --key key.pem
   

   Se il client è autenticato correttamente, la risposta include l'intestazione CF_Authorization Set-Cookie, che indica il successo dell'autenticazione mTLS.

Convalida mutua TLS

Quando si attiva questo criterio di accesso, utilizzare il seguente flusso di lavoro per convalidare i certificati dei client:

Tutte le richieste all'origine vengono valutate per un certificato client valido.

1. Il client avvia la connessione inviando un messaggio Hello.
2. L'applicazione di accesso risponde con un Hello e richiede il certificato del client.
3. Il client invia il proprio certificato per la convalida.
4. Il certificato del client viene autenticato rispetto all'autorità di certificazione radice configurata.
5. Se si utilizza una catena di certificati, il sistema controlla anche la presenza di certificati scaduti e convalida l'intera catena.
6. Se il certificato del client è attendibile, viene generato un JSON Web Token (JWT) firmato per il client che consente di procedere alla richiesta e alle richieste successive.
7. Se il client non presenta un certificato valido, il server restituisce una risposta 403 Forbidden.

Per recuperare i certificati di accesso con l'API, vedere Elenco dei certificati di accesso.