TLS 지원

Metadata_end​

Glasswall ICAP는 이제 상호 전송 계층 보안(mTLS)을 사용하여 프록시와 ICAP 서버 간의 트래픽을 암호화합니다. 이 기능은 secure ICAP (s-ICAP)라고도 합니다.

지원되는 TLS 버전:

• 1.2
• 1.3

TLS 인증서가 설치되어 있는 한 Secure-ICAP는 기본적으로 ICAP 서버에서 활성화됩니다. 포트 11344가 열리며, 서버는 보안 연결을 수락할 준비가 됩니다.

보안 연결을 통해 ICAP 서버에 연결할 때 ICAP 클라이언트 요청에 제출되는 URI 스킴은 icaps여야 합니다. 이는 보안 연결이 예상됨을 나타냅니다.

secure-ICAP URL 예시:

icaps://gw-icap-server.net/resp-cdr-service

인증서 체인 검증 플래그 구성​

ICAP 서버는 인증서 체인 검증이 수행되는 조건을 지정하는 검증 플래그로 구성할 수 있습니다.

구성 및 검증 플래그 변경에 대한 자세한 내용은 구성 변경 사항의 ICAP 서버 섹션을 참조하세요. config 항목은 certificate__vefificationflags입니다.

인증서 설치​

TLS 인증서는 외부 시크릿에서 ICAP 서버로 마운트됩니다.

초기 설정​

Glasswall ICAP 설치 중 처음으로 TLS를 설정하는 경우, 관련 Create secrets 배포 단계를 따르고 인증서가 외부 시크릿 시크릿 관리자에 추가되었는지 확인하세요. 예를 들어 AKS 환경에서는 3단계 - 키 자격 증명 모음에 시크릿 추가를 참조하세요.

프록시 또는 ICAP 클라이언트가 ICAP 서버와 동일한 인증 기관(CA)에서 서명한 해당 인증서 및 루트 인증서에 액세스할 수 있는지 확인하세요.

인증서 업데이트​

기존 인증서 체인을 업데이트하려면 환경의 시크릿 관리자에서 시크릿을 찾은 다음(Create secrets 배포 단계에서 생성됨) 다음 필드를 업데이트하세요:

• Tls-cafile - 인증 기관(CA) 루트 인증서입니다. 나머지 인증서는 이 CA 루트 인증서와 일치해야 합니다.
• Tls-server-cert - ICAP 서버의 서명된 인증서입니다.
• Tls-server-key - ICAP 서버의 개인 키입니다.

프록시 또는 ICAP 클라이언트가 ICAP 서버와 동일한 인증 기관(CA)에서 서명한 업데이트된 인증서에 액세스할 수 있는지 확인하세요.

참고: ICAP 서버는 인증서 구성의 변경을 즉시 감지해야 하지만, Kubernetes가 서버의 pod에 연결된 볼륨을 새로 고치는 동안 최대 60초의 지연이 있을 수 있습니다.