TLS समर्थन
Metadata_end
Glasswall ICAP अब आपके proxy और ICAP server के बीच ट्रैफ़िक को एन्क्रिप्ट करने के लिए mutual transport layer security (mTLS) का उपयोग करता है। इस सुविधा को secure ICAP (s-ICAP) के नाम से भी जाना जाता है।
समर्थित TLS संस्करण:
- 1.2
- 1.3
यदि TLS certificate इंस्टॉल है, तो Secure-ICAP डिफ़ॉल्ट रूप से ICAP server द्वारा सक्षम किया जाएगा। Port 11344 खोला जाएगा, और server सुरक्षित कनेक्शन स्वीकार करने के लिए तैयार रहेगा।
सुरक्षित कनेक्शन के माध्यम से ICAP server से कनेक्ट करते समय, ICAP client request में सबमिट की गई URI scheme icaps होनी चाहिए। यह दर्शाता है कि एक सुरक्षित कनेक्शन अपेक्षित है।
उदाहरण secure-ICAP URL:
icaps://gw-icap-server.net/resp-cdr-service
प्रमाणपत्र श्रृंखला सत्यापन फ़्लैग्स कॉन्फ़िगर करना
ICAP server को verification flags के साथ कॉन्फ़िगर किया जा सकता है, जो उन शर्तों को निर्धारित करते हैं जिनके अंतर्गत certificate chain verification किया जाता है।
कॉन्फ़िगरेशन और verification flags बदलने की जानकारी के लिए, कृपया Configuration changes में ICAP server अनुभाग देखें। config item certificate__vefificationflags है।
प्रमाणपत्र इंस्टॉल करना
TLS certificates को external secrets से ICAP server पर mount किया जाता है।
पहली बार सेटअप
Glasswall ICAP की स्थापना के दौरान पहली बार TLS सेटअप के लिए, सुनिश्चित करें कि संबंधित Create secrets deployment step का पालन किया गया है और certificates आपके external secrets secret manager में जोड़े गए हैं - उदाहरण के लिए, AKS environment में, Step 3 - key vault में secrets जोड़ें.
कृपया सुनिश्चित करें कि आपके proxy या ICAP client के पास संबंधित certificates और ICAP server के समान certificate authority (CA) द्वारा signed एक root certificate तक access हो।
Certificates अपडेट करना
मौजूदा certificate chain को अपडेट करने के लिए, अपने environment के secret manager में secrets खोजें (Create secrets deployment step से) और निम्न fields अपडेट करें:
Tls-cafile- certificate authority (CA) root certificate। बाकी सभी certificates इस CA root certificate के अनुरूप होने चाहिए।Tls-server-cert- ICAP server का signed certificate।Tls-server-key- ICAP server की private key।
कृपया सुनिश्चित करें कि आपके proxy या ICAP client के पास ICAP server के समान certificate authority (CA) द्वारा signed अपडेट किए गए certificates तक access हो।
नोट: ICAP server को अपनी certificate configuration में बदलाव तुरंत पहचान लेना चाहिए, हालांकि Kubernetes द्वारा server के pod से जुड़े volume को refresh करने में 60 seconds की देरी हो सकती है।