פרוטוקול TLS בו-זמני (mTLS) הוא פרוטוקול תקני בתעשייה לאימות הדדי בין לקוח לשרת. פרוטוקול mTLS מוודא שגם הלקוח וגם השרת, בכל קצה של חיבור רשת, הם מי שהם טוענים שהם. הוא עושה זאת על ידי אימות שלשניהם יש את המפתח הפרטי שמשויך לאישור הלקוח.
מהו אישור לקוח?
אישור לקוח, שנקרא גם אישור Transport Layer Security (TLS), הוא קובץ שמכיל מידע חשוב לאימות הזהות של מכשיר. פרטי האישור כוללים את המפתח הציבורי, הצהרה לגבי הגורם שהנפיק את האישור (אישורים יכולים להיות מונפקים על ידי רשויות אישורים או חתומים עצמית) ותאריך התפוגה של האישור.
איך ממשקי Google API מאמתים את זהות המכשיר
פרוטוקול TLS משתמש בטכניקה שנקראת תשתית מפתח ציבורי (PKI), שמסתמכת על זוג מפתחות אסימטריים: מפתח ציבורי ומפתח פרטי. כל מה שמוצפן באמצעות המפתח הפרטי ניתן לפענוח רק באמצעות המפתח הציבורי. Google Cloud APIs משתמשים בפרוטוקול TLS כדי לאמת את הזהות של מכשיר על ידי פענוח ההודעה שהוצפנה באמצעות המפתח הפרטי, באמצעות המפתח הציבורי של האישור במהלך לחיצת היד ב-mTLS. פענוח מוצלח מוכיח את החזקה במפתח הפרטי, שזמין רק ממכשירים מהימנים.
כדי להפעיל את תהליך הלחיצת היד והאימות של mTLS, הלקוח צריך לבצע את הפעולות הבאות:
כדי ליצור חיבור mTLS עם ממשקי Google API, צריך להשתמש בנקודות קצה (endpoints) של API ספציפיות ל-mTLS. נקודות הקצה הספציפיות ל-mTLS הן בפורמט הבא:
[service].mtls.googleapis.comאיתור אישור המכשיר ושימוש בו במהלך לחיצת היד של mTLS. אם אתם משתמשים באימות נקודות קצה לפריסת אישורים, הלקוחות הנתמכים יגלו את סוג האישור הזה באופן אוטומטי וישתמשו בו.
בתרשים הבא מוצג תהליך לחיצת היד של mTLS בין לקוח לבין שרת Google API:
