Lumaktaw sa pangunahing nilalaman

Suporta sa TLS

Metadata_end

Gumagamit na ngayon ang Glasswall ICAP ng mutual transport layer security (mTLS) upang i-encrypt ang trapiko sa pagitan ng iyong proxy at ng ICAP server. Kilala rin ang feature na ito bilang secure ICAP (s-ICAP).

Mga sinusuportahang bersyon ng TLS:

  • 1.2
  • 1.3

Ie-enable ang Secure-ICAP bilang default ng ICAP server hangga't may naka-install na TLS certificate. Bubuksan ang port 11344, at magiging handa ang server na tumanggap ng mga secure na koneksyon.

Kapag kumokonekta sa ICAP server sa pamamagitan ng secure na koneksyon, ang URI scheme na isinumite sa kahilingan ng ICAP client ay dapat na icaps. Ipinapahiwatig nito na inaasahan ang isang secure na koneksyon.

Halimbawa ng secure-ICAP URL:

icaps://gw-icap-server.net/resp-cdr-service

Pag-configure ng mga flag sa beripikasyon ng certificate chain

Maaaring i-configure ang ICAP server gamit ang mga verification flag na nagtatakda ng mga kundisyon kung kailan isasagawa ang beripikasyon ng certificate chain.

Para sa impormasyon tungkol sa configuration at sa pagbabago ng mga verification flag, pakitingnan ang seksyon ng ICAP server sa Mga pagbabago sa configuration. Ang config item ay certificate__vefificationflags.

Pag-install ng mga certificate

Ang mga TLS certificate ay mina-mount sa ICAP server mula sa external secrets.

Unang beses na setup

Para sa unang beses na TLS setup habang ini-install ang Glasswall ICAP, tiyaking sinusunod ang kaugnay na deployment step na Create secrets at naidagdag na ang mga certificate sa iyong external secrets secret manager - halimbawa, sa isang AKS environment, Hakbang 3 - Magdagdag ng mga secret sa key vault.

Pakitiyak na may access ang iyong proxy o ICAP client sa mga katumbas na certificate at sa isang root certificate na nilagdaan ng kaparehong certificate authority (CA) gaya ng ICAP server.

Pag-update ng mga certificate

Para mag-update ng umiiral na certificate chain, hanapin ang mga secret sa secret manager ng iyong environment (mula sa deployment step na Create secrets) at i-update ang mga sumusunod na field:

  • Tls-cafile - ang root certificate ng certificate authority (CA). Dapat tumugma ang iba pang mga certificate sa CA root certificate na ito.
  • Tls-server-cert - ang nilagdaang certificate ng ICAP server.
  • Tls-server-key - ang private key ng ICAP server.

Pakitiyak na may access ang iyong proxy o ICAP client sa mga na-update na certificate na nilagdaan ng kaparehong certificate authority (CA) gaya ng ICAP server.

Tandaan: Dapat agad matukoy ng ICAP server ang pagbabago sa configuration ng certificate nito, ngunit maaaring magkaroon ng pagkaantala na 60 segundo habang nire-refresh ng Kubernetes ang volume na naka-attach sa pod ng server.

Huling na-update noong