Lewati ke konten utama

Dukungan TLS

Metadata_end

Glasswall ICAP kini menggunakan mutual transport layer security (mTLS) untuk mengenkripsi lalu lintas antara proxy Anda dan server ICAP. Fitur ini juga dikenal sebagai secure ICAP (s-ICAP).

Versi TLS yang didukung:

  • 1.2
  • 1.3

Secure-ICAP akan diaktifkan secara default oleh server ICAP selama sertifikat TLS terpasang. Port 11344 akan dibuka, dengan server siap menerima koneksi aman.

Saat terhubung ke server ICAP melalui koneksi aman, skema URI yang dikirimkan dalam permintaan klien ICAP harus berupa icaps. Ini menunjukkan bahwa koneksi aman diharapkan.

Contoh URL secure-ICAP:

icaps://gw-icap-server.net/resp-cdr-service

Mengonfigurasi flag verifikasi rantai sertifikat

Server ICAP dapat dikonfigurasi dengan flag verifikasi yang menentukan kondisi saat verifikasi rantai sertifikat dilakukan.

Untuk informasi tentang konfigurasi dan cara mengubah flag verifikasi, silakan lihat bagian server ICAP di Perubahan konfigurasi. Item config-nya adalah certificate__vefificationflags.

Menginstal sertifikat

Sertifikat TLS dipasang ke server ICAP dari secret eksternal.

Penyiapan pertama kali

Untuk penyiapan TLS pertama kali selama instalasi Glasswall ICAP, pastikan langkah deployment Create secrets yang relevan diikuti dan sertifikat telah ditambahkan ke secret manager secret eksternal Anda - misalnya, di lingkungan AKS, Langkah 3 - Tambahkan secret di key vault.

Pastikan proxy atau klien ICAP Anda memiliki akses ke sertifikat yang sesuai dan sertifikat root yang ditandatangani oleh certificate authority (CA) yang sama dengan server ICAP.

Memperbarui sertifikat

Untuk memperbarui rantai sertifikat yang ada, temukan secret di secret manager lingkungan Anda (dari langkah deployment Create secrets) dan perbarui field berikut:

  • Tls-cafile - sertifikat root certificate authority (CA). Sertifikat lainnya harus sesuai dengan sertifikat root CA ini.
  • Tls-server-cert - sertifikat bertanda tangan milik server ICAP.
  • Tls-server-key - private key milik server ICAP.

Pastikan proxy atau klien ICAP Anda memiliki akses ke sertifikat terbaru yang ditandatangani oleh certificate authority (CA) yang sama dengan server ICAP.

Catatan: Server ICAP seharusnya mendeteksi perubahan pada konfigurasi sertifikatnya secara instan, namun mungkin ada penundaan selama 60 detik saat Kubernetes menyegarkan volume yang terpasang ke pod server.

Terakhir diperbarui pada