雙向傳輸層安全標準 (mTLS) 是業界標準通訊協定,可讓用戶端與伺服器進行雙向驗證。mTLS 通訊協定會驗證用戶端和伺服器是否都有與用戶端憑證相關聯的私密金鑰,確保網路連線的兩端均具備所宣稱的身分。
什麼是用戶端憑證?
用戶端憑證也稱為傳輸層安全標準 (TLS) 憑證,是包含重要資訊的檔案,用於驗證裝置的身分。憑證資訊包括公開金鑰、憑證核發者聲明 (憑證可由憑證授權單位核發或自行簽署),以及憑證的有效期限。
Google API 如何驗證裝置身分
TLS 協定使用稱為公開金鑰基礎架構 (PKI) 的技術,這項技術依賴一對非對稱金鑰:公開金鑰和私密金鑰。透過私密金鑰加密的任何內容,只能使用公開金鑰解密。Google Cloud API 會使用 TLS 通訊協定驗證裝置身分,方法是在 mTLS 握手期間,使用憑證的公開金鑰解密私密金鑰加密的訊息。成功解密表示您擁有私密金鑰,而私密金鑰只能從信任的裝置取得。
如要啟用 mTLS 握手和驗證程序,用戶端必須執行下列操作:
使用 mTLS 專屬 API 端點,與 Google API 建立 mTLS 連線。mTLS 專屬端點的格式如下:
[service].mtls.googleapis.com在 mTLS 握手期間探索及使用裝置憑證。如果您使用端點驗證部署憑證,支援的用戶端會自動探索並使用這類憑證。
下圖說明用戶端與 Google API 伺服器之間的 mTLS 握手程序:
