瞭解 Google Cloud 中的雙向傳輸層安全性

雙向傳輸層安全標準 (mTLS) 是用於用戶端和伺服器之間相互驗證的業界標準通訊協定。mTLS 通訊協定會驗證用戶端和伺服器是否都有與用戶端憑證相關聯的私密金鑰，確保網路連線的兩端均具備所宣稱的身分。

什麼是用戶端憑證？

用戶端憑證 (也稱為傳輸層安全標準 (TLS) 憑證) 是包含驗證裝置身分的必要資訊的檔案。憑證資訊包括公開金鑰、發出憑證的單位聲明 (憑證可由憑證授權單位核發或自行簽署)，以及憑證的到期日。

Google API 如何驗證裝置身分

TLS 通訊協定採用公用金鑰基礎架構 (PKI) 技術，這項技術仰賴一組非對稱金鑰：公開金鑰和私密金鑰。使用私密金鑰加密的任何內容，只能使用公開金鑰解密。Google Cloud API 會在 mTLS 握手期間，使用憑證的公開金鑰解密由私密金鑰加密的訊息，藉此使用 TLS 通訊協定驗證裝置身分。成功解密可證明您擁有私密金鑰，而這類金鑰只能透過信任的裝置取得。

如要啟用 mTLS 握手和驗證程序，用戶端必須執行下列操作：

• 使用 mTLS 專屬 API 端點，與 Google API 建立 mTLS 連線。mTLS 專屬端點的格式如下：[service].mtls.googleapis.com

• 在 mTLS 握手期間發現並使用裝置憑證。如果您使用端點驗證來部署憑證，系統會自動偵測這類憑證，並由支援的用戶端使用。

下圖說明用戶端與 Google API 伺服器之間的 mTLS 握手：

後續步驟

• 設定以憑證為依據的存取權