用mTLS保护spring引导应用程序-在上运行

Question

我有一个春季引导应用程序部署到，应该使用mTLS进行保护。

显然有春天的保安..。针对Swisscom，我读到了关于在https://docs.developer.swisscom.com/adminguide/securing-traffic.html上保护流量的文章。

我不清楚这两人是如何合作的..。

• 如果我通过spring安全性启用了mTLS，那么它是否可以正常工作，还是需要为Swisscom进行额外的配置？(我遇到了HTTP路由，其中提到了通过mTLS https://docs.developer.swisscom.com/concepts/http-routing.html的客户端证书)
• Swisscom上的mTLS配置是替代了我本来可以用spring安全启用的功能，还是还需要在我的应用程序中配置一些东西？
• 保护通信量提到部署清单和BOSH清单，是否需要后一种(也可能是额外的)配置来启用Swisscom上的mTLS (也就是说，除了部署清单之外，我还需要访问信任)？

更新

我的用例是，我有一个REST，它将由之外的客户端使用。决定使用mTLS对其进行担保。

Answer 1

您所指的管理指南是针对平台运营商的(即Swisscom)，因此它不是最终用户可以利用的资源。

你的用例是什么？如果检查列表只是一个安全要求，那么请注意，平台本身很快就会在内部使用mTLS，因此，在保护应用程序容器之前，整个过程都要进行。对你的审计师来说可能已经足够了。

如果您确实需要自己验证客户端证书，CF的方法是利用X-Forwarded-Client-Cert (https://docs.cloudfoundry.org/concepts/http-routing.html#-forward-client-certificate-to-applications)。

但是，我们目前还没有启用它(直到现在还没有必要)，但是我们可以这样做。

更新：

根据这个解释，X-Forwarded-Client-Cert的插入实际上是由平台透明地完成的。因此，如果将客户端应用程序的证书添加到服务器应用程序的信任库，它将验证客户端证书。

更新2:，正如您在下面的讨论中所看到的，目前在概念上不存在允许应用程序使用X-Forwarded-Client-Cert执行适当的mTLS的简单方法。目前唯一的选择是使用tcp路由，这是您可以向Appcloud支持小组请求的内容。