Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O TLS mútuo (mTLS) é um protocolo padrão do setor para autenticação mútua
entre um cliente e um servidor. O protocolo mTLS garante que o cliente
e o servidor, em cada extremidade de uma conexão de rede, sejam quem afirmam ser,
verificando se ambos têm a chave privada associada ao certificado
do cliente.
O que é um certificado do cliente?
Um certificado de cliente, também chamado de certificado de segurança da camada de transporte (TLS),
é um arquivo que contém informações importantes para verificar a identidade de um dispositivo.
As informações do certificado incluem a chave pública, uma declaração de quem emitiu
o certificado (os certificados podem ser emitidos por autoridades certificadoras ou autoassinados) e a data de validade do certificado.
Como as APIs do Google validam a identidade do dispositivo
O protocolo TLS usa uma técnica chamada infraestrutura de chave pública (PKI), que
depende de um par de chaves assimétricas: uma chave pública e uma chave privada. Qualquer coisa
criptografada com a chave privada só pode ser descriptografada com a chave pública. As
APIsGoogle Cloud usam o protocolo TLS para verificar a identidade de um dispositivo
descriptografando a mensagem criptografada pela chave privada usando a chave pública do
certificado durante o handshake mTLS. A descriptografia bem-sucedida prova a
posse da chave privada, que só está disponível em dispositivos confiáveis.
Para ativar o processo de handshake e validação do mTLS, o cliente precisa fazer o seguinte:
Estabeleça uma conexão mTLS com as APIs do Google usando endpoints de API específicos de mTLS. Os endpoints específicos de mTLS têm o seguinte formato: [service].mtls.googleapis.com
Detectar e usar o certificado do dispositivo durante o handshake mTLS. Se você estiver usando a Verificação de endpoints para implantação de certificados, esse tipo de certificado será descoberto e usado automaticamente pelos clientes compatíveis.
O diagrama a seguir ilustra o handshake mTLS entre um cliente e um servidor da API do Google:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Understand mutual TLS at Google Cloud\n\nMutual TLS (mTLS) is an industry standard protocol for mutual authentication\nbetween a client and a server. The mTLS protocol ensures that both the client\nand server, at each end of a network connection, are who they claim they are by\nverifying that both possess the private key associated with the client\ncertificate.\n\n### What is a client certificate?\n\nA client certificate, also called a Transport Layer Security (TLS) certificate,\nis a file that contains important information for verifying a device's identity.\nThe certificate information includes the public key, a statement of who issued\nthe certificate (certificates can be issued by certificate authorities or self-\nsigned), and the certificate's expiration date.\n\n### How the Google APIs validate device identity\n\nThe TLS protocol uses a technique called public key infrastructure (PKI), which\nrelies on a pair of asymmetric keys: a public key and a private key. Anything\nencrypted with the private key can be decrypted only with the public key. The\nGoogle Cloud APIs use the TLS protocol to verify the identity of a device by\ndecrypting the message encrypted by the private key using the public key of the\ncertificate during the mTLS handshake. The successful decryption proves the\npossession of the private key which is only available from trusted devices.\n\nTo enable the mTLS handshake and validation process, a client must do the following:\n\n- Establish an mTLS connection with the Google APIs by using mTLS-specific API\n endpoints. The mTLS-specific endpoints have the following format: `[service].mtls.googleapis.com`\n\n- Discover and use the device certificate during the mTLS handshake. If you are\n using Endpoint Verification for certificate deployment, this type of certificate\n is automatically discovered and used by the supported clients.\n\nThe following diagram illustrates the mTLS handshake between a client and a\nGoogle API server:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nWhat's next\n-----------\n\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
