相互 TLS 認証

Dialogflow が Webhook リクエストに対して開始するネットワーク トラフィックは、パブリック ネットワークで送信されます。両方向のトラフィックの安全性と信頼性を確保するため、Dialogflow は相互 TLS 認証(mTLS)をオプションでサポートします。Dialogflow の標準 TLS handshake 中に、Webhook サーバーは認証局チェーンに従うか、証明書をカスタム CA 証明書と比較して、Dialogflow で検証できる証明書を提示します。Webhook サーバーで mTLS を有効にすると、Dialogflow がを検証のために Webhook サーバーに提示した Google 証明書を認証して、相互信頼の確立を完了します。

mTLS のリクエスト

mTLS をリクエストするには:

  1. Webhook HTTPS サーバーが TLS handshake 中にクライアント証明書をリクエストするように、準備をします。
  2. Webhook サーバーは、クライアント証明書の受信時に、この証明書を検証する必要があります。
  3. クライアントとサーバーの両方で相互に信頼できる Webhook サーバーの証明書チェーンをインストールします。Google サービスに接続するアプリケーションは、Google Trust Services によって一覧表示されているすべての認証局を信頼する必要があります。ルート証明書は https://pki.goog/ からダウンロードできます。

mTLS を使用した Webhook サーバーへの呼び出しの例

この例では、webhook サーバーで openssl を実行している、クイックスタートで説明したエージェントを使用します。

  1. 設定例
    1. エンドユーザーに挨拶し、スタンドアロン ウェブサーバーを指す Webhook にクエリを実行する Dialogflow ES エージェント。
    2. key.pem という名前のファイルの TLS 通信用の秘密鍵。
    3. fullchain.pem という名前のファイルで、公的に信頼できる CA(認証局)によって署名された証明書チェーン。
  2. サーバーマシンで openssl s_server プログラムを実行します。
    sudo openssl s_server -key key.pem -cert fullchain.pem -accept 443 -verify 1
  3. クライアント マシンからエージェントにリクエストが送信されます。この例では、リクエストは「Hi」です。このリクエストは、Dialogflow コンソールを使用するか、API 呼び出しによって送信できます。
  4. サーバーマシンの openssl s_server の出力。
    verify depth is 1
    Using default temp DH parameters
    ACCEPT
    depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
    verify return:1
    depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1D4
    verify return:1
    depth=0 CN = *.dialogflow.com
    verify return:1
    -----BEGIN SSL SESSION PARAMETERS-----
    MII...
    -----END SSL SESSION PARAMETERS-----
    Client certificate
    -----BEGIN CERTIFICATE-----
    MII...
    -----END CERTIFICATE-----
    subject=CN = *.dialogflow.com
    
    issuer=C = US, O = Google Trust Services LLC, CN = GTS CA 1D4
    
    Shared ciphers:TLS_AES_128_GCM_SHA256:...
    Signature Algorithms: ECDSA+SHA256:...
    Shared Signature Algorithms: ECDSA+SHA256:...
    Peer signing digest: SHA256
    Peer signature type: RSA-PSS
    Supported Elliptic Groups: 0x6A6A:...
    Shared Elliptic groups: X25519:...
    CIPHER is TLS_AES_128_GCM_SHA256
    Secure Renegotiation IS NOT supported
    POST /dialogflowFulfillment HTTP/1.1
    authorization: Bearer ey...
    content-type: application/json
    Host: www.example.com
    Content-Length: 1011
    Connection: keep-alive
    Accept: */*
    User-Agent: Google-Dialogflow
    Accept-Encoding: gzip, deflate, br
    
    {
      "responseId": "96c0029a-149d-4f5d-b225-0b0bb0f0c8d9-afbcf665",
      "queryResult": {
        "queryText": "Hi",
        "action": "input.welcome",
        "parameters": {
        },
        "allRequiredParamsPresent": true,
        "outputContexts": [{
          "name": "projects/PROJECT-ID/agent/sessions/58ab33f3-b57a-aae9-fb23-8306242d4871/contexts/__system_counters__",
          "parameters": {
            "no-input": 0.0,
            "no-match": 0.0
          }
        }],
        "intent": {
          "name": "projects/PROJECT-ID/agent/intents/399277d6-2ed7-4329-840d-8baa0f60480e",
          "displayName": "Default Welcome Intent"
        },
        "intentDetectionConfidence": 1.0,
        "languageCode": "en",
        "sentimentAnalysisResult": {
          "queryTextSentiment": {
            "score": 0.2,
            "magnitude": 0.2
          }
        }
      },
      "originalDetectIntentRequest": {
        "source": "DIALOGFLOW_CONSOLE",
        "payload": {
        }
      },
      "session": "projects/PROJECT-ID/agent/sessions/58ab33f3-b57a-aae9-fb23-8306242d4871"
    }ERROR
    shutting down SSL
    CONNECTION CLOSED
          

ベスト プラクティス

独自の Dialogflow エージェントから確実に Webhook リクエストが行われるようにするには、リクエストの認証ヘッダーからの署名なしのサービス ID トークンを検証する必要があります。または、以前に認証サーバーによって提供されたセッション パラメータを確認することもできます。

エラー

クライアント証明書の検証に失敗した場合(Webhook サーバーがクライアント証明書を信頼していない場合など)、TLS handshake は失敗し、セッションは終了します。

一般的なエラー メッセージ:

エラー メッセージ 説明
Failed to verify client's certificate: x509: certificate signed by unknown authority(クライアントの証明書を検証できませんでした: x509: 不明な権限で署名された証明書) Dialogflow はクライアント証明書を外部 Webhook に送信しましたが、外部 Webhook で検証できませんでした。外部 Webhook で CA チェーンが正しくインストールされなかったことが原因として考えられます。Google のすべてのルート CA は信頼される必要があります。