网络安全
双向 TLS(mTLS)
别称: 双向 TLS, 客户端认证 TLS
定义
TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
双向 TLS 是 TLS 握手的一种变体,服务器在出示自身证书的同时也要求客户端提供证书。在校验证书链并确认私钥持有者后,双方建立加密且经过相互认证的会话。它被广泛应用于零信任架构、API 网关、服务网格以及 VPN 替代方案中的机器对机器和服务对服务通信。良好实践包括由私有 CA 签发的短期证书、自动轮换、OCSP 或 CRL 检查,以及在客户端证书与身份不匹配时拒绝令牌或承载凭据。
示例
- Kubernetes 服务网格为每个 Pod 颁发 SPIFFE 身份,所有 Pod 间调用都使用 mTLS。
- API 网关要求合作伙伴系统提供由内部 CA 签发的客户端证书。
相关术语
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL (Secure Sockets Layer)
SSL (Secure Sockets Layer) — definition coming soon.
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
Zero Trust Network
Zero Trust Network — definition coming soon.