Informationen zu gegenseitigem TLS unter Google Cloud

Mutual TLS (mTLS) ist ein Industriestandardprotokoll für die gegenseitige Authentifizierung zwischen einem Client und einem Server. Das mTLS-Protokoll stellt sicher, dass sowohl Client als auch Server an jedem Ende einer Netzwerkverbindung die sind, für die sie sich ausgeben. Dazu wird überprüft, ob beide den mit dem Clientzertifikat verknüpften privaten Schlüssel haben.

Was ist ein Clientzertifikat?

Ein Clientzertifikat, auch TLS-Zertifikat (Transport Layer Security) genannt, ist eine Datei, die wichtige Informationen zur Überprüfung der Identität eines Geräts enthält. Die Zertifikatsinformationen umfassen den öffentlichen Schlüssel, eine Erklärung dazu, wer das Zertifikat ausgestellt hat (Zertifikate können von Zertifizierungsstellen ausgestellt oder selbst signiert werden) und das Ablaufdatum des Zertifikats.

So wird die Geräteidentität von Google APIs validiert

Das TLS-Protokoll verwendet die Public-Key-Infrastruktur (PKI), die auf einem Paar asymmetrischer Schlüssel basiert: einem öffentlichen und einem privaten Schlüssel. Alles, was mit dem privaten Schlüssel verschlüsselt wurde, kann nur mit dem öffentlichen Schlüssel entschlüsselt werden. DieGoogle Cloud APIs verwenden das TLS-Protokoll, um die Identität eines Geräts zu überprüfen. Dazu wird die vom privaten Schlüssel verschlüsselte Nachricht während des mTLS-Handshakes mit dem öffentlichen Schlüssel des Zertifikats entschlüsselt. Die erfolgreiche Entschlüsselung beweist den Besitz des privaten Schlüssels, der nur auf vertrauenswürdigen Geräten verfügbar ist.

Um den mTLS-Handshake und ‑Validierungsprozess zu aktivieren, muss ein Client Folgendes tun:

  • Stellen Sie mithilfe von mTLS-spezifischen API-Endpunkten eine mTLS-Verbindung zu den Google APIs her. Die mTLS-spezifischen Endpunkte haben folgendes Format: [service].mtls.googleapis.com

  • Das Gerätezertifikat während des mTLS-Handshakes erkennen und verwenden. Wenn Sie die Endpunktprüfung für die Zertifikatbereitstellung verwenden, wird diese Art von Zertifikat automatisch von den unterstützten Clients erkannt und verwendet.

Das folgende Diagramm zeigt den mTLS-Handshake zwischen einem Client und einem Google API-Server:

mTLS-Handshake zwischen einem Client und einem Google API-Server

Nächste Schritte