Chuyển đến nội dung chính

Hỗ trợ TLS

Metadata_end

Glasswall ICAP hiện sử dụng bảo mật lớp truyền tải song phương (mTLS) để mã hóa lưu lượng giữa proxy của bạn và máy chủ ICAP. Tính năng này còn được gọi là ICAP bảo mật (s-ICAP).

Các phiên bản TLS được hỗ trợ:

  • 1.2
  • 1.3

Secure-ICAP sẽ được máy chủ ICAP bật theo mặc định miễn là đã cài đặt chứng chỉ TLS. Cổng 11344 sẽ được mở, với máy chủ sẵn sàng chấp nhận các kết nối bảo mật.

Khi kết nối tới máy chủ ICAP thông qua kết nối bảo mật, lược đồ URI được gửi trong yêu cầu của ứng dụng khách ICAP phải là icaps. Điều này cho biết rằng một kết nối bảo mật được mong đợi.

Ví dụ về URL secure-ICAP:

icaps://gw-icap-server.net/resp-cdr-service

Cấu hình các cờ xác minh chuỗi chứng chỉ

Máy chủ ICAP có thể được cấu hình với các cờ xác minh quy định các điều kiện mà theo đó việc xác minh chuỗi chứng chỉ được thực hiện.

Để biết thông tin về cấu hình và cách thay đổi các cờ xác minh, vui lòng xem phần máy chủ ICAP trong Các thay đổi về cấu hình. Mục cấu hình là certificate__vefificationflags.

Cài đặt chứng chỉ

Chứng chỉ TLS được gắn vào máy chủ ICAP từ các external secrets.

Thiết lập lần đầu

Đối với thiết lập TLS lần đầu trong quá trình cài đặt Glasswall ICAP, hãy bảo đảm thực hiện bước triển khai Create secrets tương ứng và các chứng chỉ đã được thêm vào trình quản lý secret external secrets của bạn - ví dụ: trong môi trường AKS, Bước 3 - Thêm secret vào key vault.

Vui lòng bảo đảm proxy hoặc ứng dụng khách ICAP của bạn có quyền truy cập vào các chứng chỉ tương ứng và một chứng chỉ gốc được ký bởi cùng cơ quan cấp chứng chỉ (CA) như máy chủ ICAP.

Cập nhật chứng chỉ

Để cập nhật một chuỗi chứng chỉ hiện có, hãy tìm các secret trong trình quản lý secret của môi trường bạn (từ bước triển khai Create secrets) và cập nhật các trường sau:

  • Tls-cafile - chứng chỉ gốc của cơ quan cấp chứng chỉ (CA). Các chứng chỉ còn lại phải tương ứng với chứng chỉ gốc CA này.
  • Tls-server-cert - chứng chỉ đã ký của máy chủ ICAP.
  • Tls-server-key - khóa riêng tư của máy chủ ICAP.

Vui lòng bảo đảm proxy hoặc ứng dụng khách ICAP của bạn có quyền truy cập vào các chứng chỉ đã cập nhật được ký bởi cùng cơ quan cấp chứng chỉ (CA) như máy chủ ICAP.

Lưu ý: Máy chủ ICAP sẽ phát hiện thay đổi trong cấu hình chứng chỉ gần như ngay lập tức, tuy nhiên có thể có độ trễ 60 giây trong khi Kubernetes làm mới volume được gắn vào pod của máy chủ.

Cập nhật lần cuối vào