Langkau ke kandungan utama

Sokongan TLS

Metadata_end

Glasswall ICAP kini menggunakan mutual transport layer security (mTLS) untuk menyulitkan trafik antara proksi anda dan pelayan ICAP. Ciri ini juga dikenali sebagai secure ICAP (s-ICAP).

Versi TLS yang disokong:

  • 1.2
  • 1.3

Secure-ICAP akan didayakan secara lalai oleh pelayan ICAP selagi sijil TLS dipasang. Port 11344 akan dibuka, dengan pelayan sedia menerima sambungan selamat.

Apabila menyambung ke pelayan ICAP melalui sambungan selamat, skema URI yang dihantar dalam permintaan klien ICAP hendaklah icaps. Ini menunjukkan bahawa sambungan selamat dijangkakan.

Contoh URL secure-ICAP:

icaps://gw-icap-server.net/resp-cdr-service

Mengkonfigurasi bendera pengesahan rantaian sijil

Pelayan ICAP boleh dikonfigurasikan dengan bendera pengesahan yang menentukan syarat-syarat di mana pengesahan rantaian sijil dilakukan.

Untuk maklumat tentang konfigurasi dan cara menukar bendera pengesahan, sila lihat bahagian pelayan ICAP dalam Perubahan konfigurasi. Item config ialah certificate__vefificationflags.

Memasang sijil

Sijil TLS dipasang pada pelayan ICAP daripada rahsia luaran.

Persediaan kali pertama

Untuk persediaan TLS kali pertama semasa pemasangan Glasswall ICAP, pastikan langkah deployment Create secrets yang berkaitan diikuti dan sijil telah ditambahkan ke pengurus rahsia luaran anda - contohnya, dalam persekitaran AKS, Langkah 3 - Tambah rahsia dalam key vault.

Sila pastikan proksi atau klien ICAP anda mempunyai akses kepada sijil yang sepadan dan sijil akar yang ditandatangani oleh pihak berkuasa sijil (CA) yang sama seperti pelayan ICAP.

Mengemas kini sijil

Untuk mengemas kini rantaian sijil sedia ada, cari rahsia dalam pengurus rahsia persekitaran anda (daripada langkah deployment Create secrets) dan kemas kini medan berikut:

  • Tls-cafile - sijil akar pihak berkuasa sijil (CA). Selebihnya sijil mesti sepadan dengan sijil akar CA ini.
  • Tls-server-cert - sijil bertandatangan pelayan ICAP.
  • Tls-server-key - kunci peribadi pelayan ICAP.

Sila pastikan proksi atau klien ICAP anda mempunyai akses kepada sijil terkini yang ditandatangani oleh pihak berkuasa sijil (CA) yang sama seperti pelayan ICAP.

Nota: Pelayan ICAP sepatutnya mengesan perubahan dalam konfigurasi sijilnya serta-merta, namun mungkin terdapat kelewatan selama 60 saat sementara Kubernetes menyegarkan volum yang dilampirkan pada pod pelayan.

Terakhir dikemas kini pada