Memahami mutual TLS di Google Cloud

Mutual TLS (mTLS) adalah protokol standar industri untuk autentikasi timbal balik antara klien dan server. Protokol mTLS memastikan bahwa klien dan server, di setiap ujung koneksi jaringan, adalah siapa yang mereka klaim dengan memverifikasi bahwa keduanya memiliki kunci pribadi yang terkait dengan sertifikat klien.

Apa yang dimaksud dengan sertifikat klien?

Sertifikat klien, yang juga disebut sertifikat Transport Layer Security (TLS), adalah file yang berisi informasi penting untuk memverifikasi identitas perangkat. Informasi sertifikat mencakup kunci publik, pernyataan tentang siapa yang menerbitkan sertifikat (sertifikat dapat diterbitkan oleh certificate authority atau ditandatangani sendiri), dan tanggal habis masa berlaku sertifikat.

Cara Google API memvalidasi identitas perangkat

Protokol TLS menggunakan teknik yang disebut infrastruktur kunci publik (PKI), yang bergantung pada sepasang kunci asimetris: kunci publik dan kunci pribadi. Apa pun yang dienkripsi dengan kunci pribadi hanya dapat didekripsi dengan kunci publik.Google Cloud API menggunakan protokol TLS untuk memverifikasi identitas perangkat dengan mendekode pesan yang dienkripsi oleh kunci pribadi menggunakan kunci publik sertifikat selama TLS handshake. Dekripsi yang berhasil membuktikan kepemilikan kunci pribadi yang hanya tersedia dari perangkat tepercaya.

Untuk mengaktifkan proses validasi dan handshake mTLS, klien harus melakukan hal berikut:

• Buat koneksi mTLS dengan Google API menggunakan endpoint API khusus mTLS. Endpoint khusus mTLS memiliki format berikut: [service].mtls.googleapis.com

• Menemukan dan menggunakan sertifikat perangkat selama handshake mTLS. Jika Anda menggunakan Verifikasi Endpoint untuk deployment sertifikat, jenis sertifikat ini akan otomatis ditemukan dan digunakan oleh klien yang didukung.

Diagram berikut mengilustrasikan handshake mTLS antara klien dan server Google API:

Langkah selanjutnya

• Menyiapkan akses berbasis sertifikat