Обновить

mTLS: руководство — от теории к практике с управлением сертификатами и защиты сервисов

Уровень сложностиПростой
Время на прочтение11 мин
Охват и читатели10K
Всего голосов 12: ↑12 и ↓0+12
Комментарии8

Комментарии 8

C mTLS не заблокируют ли случайно IP в условиях нынешних реалий?

mTLS решает задачу аутентификации на транспортном уровне для доступа к ресурсу. Случайно блокировать часть стандартного TLS... Очень глупо. Даже не знаю по какой причине могут это сделать 😁

mTLS X-Ray Reality использует.

Большое спасибо за статью! Скажите, пож-та, как то в docker это всё творчество можно обернуть (в т.ч. traefik, что бы был со связкой скрипта)?

P.S. пока смотрел весьма бегло репозитарий на github. Поставил звезду уже. :)

Здравствуйте! Спасибо большое за звезду :)

Да, с Docker это всё можно использовать. Если у вас Dokploy — в скрипте уже есть готовый пресет, просто в 6) Настройка путей выберите p1.

Если обычный Traefik, то выберите p2 / p3 или укажите свой путь вручную. ПРИМЕР:

  1. Захожу в настройку путей

  2. Выбираю пункт "Dynamic-конфиги Traefik" написав "1" в выбор, далее пишу свой путь где находиться у меня конфиги траефик

Сначала нужно развернуть сам сервис и Traefik с HTTPS, потом в скрипте создать CA, добавить сервис через [patch], и после этого создать сертификат.(можно иначе сделать - создать полностью новый(Добавить сервис [new]) но я предпочитаю через [patch] т.к я потом могу удостовериться что сервис работает по https.

В конце(после создания сертификата) появится путь к файлам, вам нужен client.p12 — его нужно импортировать в браузер в настройки сертификатов. В Chrome / Edge это обычно: Настройки → Безопасность → Управление сертификатами, в Firefox: Настройки → Privacy & Security → Certificates → Import.

пример пути для chrome: chrome://certificate-manager/clientcerts/platformclientcerts

В первый раз работаю с traefik, сейчас мои контейнеры работают на nginx-acme. Возник такой вопрос: я правильно понимаю, что при переходе на mtls (при помощи сценария mtls.sh), мне потребуется отказаться от построения маршрутов через labels в docker и полностью формировать их через сценарий mtls.sh? В ином случае, видимо, он не сможет обнаружить файл конфигурации путей, что бы дополнить своими изменением (включить опцию) - Т.е. нужно будет использовать динамические конфигурационные файлы в traefik а не настраивать маршруты через сокет docker?

В текущем виде скрипта — да.
Планирую доработать его и добавить поддержку работы с Docker labels, чтобы не было необходимости переходить полностью на file provider.

Для nginx, скорее всего, будет отдельный скрипт, так как там логика интеграции отличается.

Офигенно работает, вот бы еще на другие реверс прокси было бы:)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации