Mutual TLS (mTLS) ist ein Branchenstandardprotokoll für die gegenseitige Authentifizierung zwischen einem Client und einem Server. Das mTLS-Protokoll (gegenseitige TLS) stellt sicher, dass sowohl Client als auch Server an jedem Ende einer Netzwerkverbindung die sind, für die sie sich ausgeben. Dazu wird überprüft, ob beide den mit dem Clientzertifikat verknüpften privaten Schlüssel haben.
Was ist ein Clientzertifikat?
Ein Clientzertifikat, auch Transport Layer Security (TLS)-Zertifikat genannt, ist eine Datei, die wichtige Informationen zur Überprüfung der Identität eines Geräts enthält. Die Zertifikatsinformationen umfassen den öffentlichen Schlüssel, eine Erklärung dazu, wer das Zertifikat ausgestellt hat (Zertifikate können von Zertifizierungsstellen ausgestellt oder selbst signiert werden), und das Ablaufdatum des Zertifikats.
So wird die Geräteidentität von Google APIs validiert
Das TLS-Protokoll verwendet eine Technik namens Public-Key-Infrastruktur (PKI), die auf einem Paar asymmetrischer Schlüssel basiert: einem öffentlichen und einem privaten Schlüssel. Alles, was mit dem privaten Schlüssel verschlüsselt wurde, kann nur mit dem öffentlichen Schlüssel entschlüsselt werden. DieGoogle Cloud -APIs verwenden das TLS-Protokoll, um die Identität eines Geräts zu überprüfen. Dazu wird die mit dem privaten Schlüssel verschlüsselte Nachricht während des mTLS-Handshakes mit dem öffentlichen Schlüssel des Zertifikats entschlüsselt. Die erfolgreiche Entschlüsselung beweist den Besitz des privaten Schlüssels, der nur auf vertrauenswürdigen Geräten verfügbar ist.
Damit der mTLS-Handshake und der Validierungsprozess aktiviert werden können, muss ein Client Folgendes tun:
Stellen Sie eine mTLS-Verbindung zu den Google APIs über mTLS-spezifische API-Endpunkte her. Die mTLS-spezifischen Endpunkte haben das folgende Format:
[service].mtls.googleapis.comGerätezertifikat während des mTLS-Handshakes erkennen und verwenden. Wenn Sie die Endpunktprüfung für die Zertifikatsbereitstellung verwenden, wird diese Art von Zertifikat automatisch von den unterstützten Clients erkannt und verwendet.
Das folgende Diagramm zeigt den mTLS-Handshake zwischen einem Client und einem Google API-Server:
