ข้ามไปยังเนื้อหาหลัก

การรองรับ TLS

Metadata_end

ขณะนี้ Glasswall ICAP ใช้ mutual transport layer security (mTLS) เพื่อเข้ารหัสทราฟฟิกระหว่างพร็อกซีของคุณกับเซิร์ฟเวอร์ ICAP แล้ว ฟีเจอร์นี้ยังเป็นที่รู้จักในชื่อ secure ICAP (s-ICAP) อีกด้วย

เวอร์ชัน TLS ที่รองรับ:

  • 1.2
  • 1.3

Secure-ICAP จะถูกเปิดใช้งานโดยค่าเริ่มต้นโดยเซิร์ฟเวอร์ ICAP ตราบใดที่มีการติดตั้งใบรับรอง TLS แล้ว พอร์ต 11344 จะถูกเปิดไว้ โดยเซิร์ฟเวอร์พร้อมรับการเชื่อมต่อแบบปลอดภัย

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ ICAP ผ่านการเชื่อมต่อแบบปลอดภัย รูปแบบ URI ที่ส่งในคำขอของไคลเอนต์ ICAP ควรเป็น icaps ซึ่งบ่งชี้ว่าคาดว่าจะใช้การเชื่อมต่อแบบปลอดภัย

ตัวอย่าง URL ของ secure-ICAP:

icaps://gw-icap-server.net/resp-cdr-service

การกำหนดค่าแฟล็กการตรวจสอบสายโซ่ใบรับรอง

สามารถกำหนดค่าเซิร์ฟเวอร์ ICAP ด้วยแฟล็กการตรวจสอบที่กำหนดเงื่อนไขในการดำเนินการตรวจสอบสายโซ่ใบรับรองได้

สำหรับข้อมูลเกี่ยวกับการกำหนดค่าและการเปลี่ยนแฟล็กการตรวจสอบ โปรดดูส่วนเซิร์ฟเวอร์ ICAP ใน การเปลี่ยนแปลงการกำหนดค่า รายการ config คือ certificate__vefificationflags.

การติดตั้งใบรับรอง

ใบรับรอง TLS ถูกเมานต์ไปยังเซิร์ฟเวอร์ ICAP จาก external secrets

การตั้งค่าครั้งแรก

สำหรับการตั้งค่า TLS ครั้งแรกระหว่างการติดตั้ง Glasswall ICAP โปรดตรวจสอบให้แน่ใจว่าได้ทำตามขั้นตอนการ deploy Create secrets ที่เกี่ยวข้อง และได้เพิ่มใบรับรองลงในตัวจัดการ secret ของ external secrets ของคุณแล้ว - ตัวอย่างเช่น ในสภาพแวดล้อม AKS ให้ดู ขั้นตอนที่ 3 - เพิ่ม secrets ใน key vault.

โปรดตรวจสอบให้แน่ใจว่า proxy หรือไคลเอนต์ ICAP ของคุณสามารถเข้าถึงใบรับรองที่สอดคล้องกันและใบรับรอง root ที่ลงนามโดยผู้ออกใบรับรอง (CA) เดียวกันกับเซิร์ฟเวอร์ ICAP

การอัปเดตใบรับรอง

หากต้องการอัปเดต certificate chain ที่มีอยู่ ให้ค้นหา secrets ในตัวจัดการ secret ของสภาพแวดล้อมของคุณ (จากขั้นตอนการ deploy Create secrets) และอัปเดตฟิลด์ต่อไปนี้:

  • Tls-cafile - ใบรับรอง root ของผู้ออกใบรับรอง (CA) ใบรับรองที่เหลือจะต้องสอดคล้องกับใบรับรอง root CA นี้
  • Tls-server-cert - ใบรับรองที่ลงนามแล้วของเซิร์ฟเวอร์ ICAP
  • Tls-server-key - private key ของเซิร์ฟเวอร์ ICAP

โปรดตรวจสอบให้แน่ใจว่า proxy หรือไคลเอนต์ ICAP ของคุณสามารถเข้าถึงใบรับรองที่อัปเดตแล้วซึ่งลงนามโดยผู้ออกใบรับรอง (CA) เดียวกันกับเซิร์ฟเวอร์ ICAP

หมายเหตุ: เซิร์ฟเวอร์ ICAP ควรตรวจพบการเปลี่ยนแปลงในการกำหนดค่าใบรับรองได้ทันที อย่างไรก็ตาม อาจมีความล่าช้า 60 วินาทีขณะที่ Kubernetes รีเฟรช volume ที่เชื่อมต่อกับ pod ของเซิร์ฟเวอร์

อัปเดตล่าสุด เมื่อ