タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
はじめに カミナシでID管理・認証基盤を開発しているmanaty(@manaty0226)です。 カミナシではAmazon Web Services(AWS)上で認証基盤を構築して動かしています。特にOpenID Providerのコア機能含めて内製しており、さまざまなOAuth拡張仕様を駆使してお客様の要求やプロダクト機能の実現に寄与しています。今回は、相互TLS(mTLS: mutual Transport Layer Security)と呼ばれる、クライアントとサーバーがともに証明書を提示して安全に接続する技術に立脚したRFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens(以下、OAuth mTLSと呼びます)を実現するために検討した内容を書きます。 仕様自体の話
Cloudflare で mTLS を利用するのがあまりにも簡単だったので書いておきます。 mTLS について 一般的に TLS を利用する場合は「クライアントがサーバーから送られてきた証明書を検証する」という仕組みを利用し、 信頼できる機関が発行した証明書を利用しているかどうかや証明書のドメインが一致しているかどうかなどを確認します。 mTLS (mutual TLS) というのは TLS 利用時に「クライアントから送られた証明書をサーバが検証する」という仕組みです。 つまりサーバーがクライアントがわから送られてくる証明書を確認するというフェーズが挟み込まれます。 この証明書自体は何を使ってもよく、オレオレ証明書でもかまいません。 クライアント側に証明書を設定するという仕組みです。VPN とかを利用したりする方は経験があるかもしれません。 mTLS はめんどくさい クライアント側に証明書
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
どうも。CX事業本部Delivery部のえーたん(@eetann092)です。 mTLS(相互TLS認証)を設定する時に、いつ誰が何のために「〇〇証明書」「証明書〇〇」を作成・使用するのか分からなかったため、整理してみました。 mTLSとは? mTLSは、サーバーとクライアントが相互に認証するしくみです。 相互TLS認証とも呼ばれています。 TLSでは、サーバーからクライアントに渡す「サーバー証明書」のみで認証します。 mTLSでは、サーバー証明書に加え、クライアントからサーバーに渡す「クライアント証明書」も使って認証します。 参考:mTLS(TLS相互認証 / 相互TLS認証)とは - IT用語辞典 e-Words 登場人物 mTLSの流れを説明する前に、登場する用語(と説明に使う図)を整理します。 認証局 説明
Double proxy (with mTLS encryption) This sandbox demonstrates a basic “double proxy” configuration, in which a simple aiohttp app connects to a PostgreSQL database, with two Envoy proxies in between. Envoy (front) -> aiohttp -> Envoy (postgres-front) -> Envoy (postgres-back) -> PostgreSQL This type of setup is common in a service mesh where Envoy acts as a “sidecar” between individual services. I
ども、大瀧です。 re:Inventがまだ始まっていないのにALBがmTLSをサポートする大型のアップデートが来ました。本ブログではパススルー構成をLambdaターゲットグループで試してみた様子をご紹介します。 設定方法 設定は非常にシンプルです。ALB作成ウィザードのHTTPSリスナー選択時に表示されるセキュアリスナーの設定に「クライアント証明書の処理」という項目が増えているので、「相互認証(mTLS)」のチェックをオンにすればOKです。 ALBのmTLS対応には二つの動作モード、「パススルー」と「トラストストアで検証」があります。「パススルー」はALBでクライアント証明書の検証はせず、転送するリクエストヘッダにクライアント証明書を付与してバックエンドターゲットでの検証を期待する動作、「トラストストアで検証」は ALB自身でクライアント証明書を評価する動作です。「トラストストアで検証」を
ロードバランサー側でクライアント証明書の検証をしたい こんにちは、のんピ(@non____97)です。 皆さんはロードバランサー側でクライアント証明書の検証をしたいなと思ったことはありますか? 私はあります。 re:Invent 2023期間中のアップデートでALBがmTLSをサポートしました。これによりクライアント認証が簡単に行えるようになります。 早速DevelopersIOでも記事が挙がっていますね。 上述の記事ではパススルー構成を試しています。パススルー構成はALBのバックエンド側でクライアント証明書を検証するパターンです。 個人的にはできれば、面倒なクライアント証明書の検証はALBにオフロードしたいところです。 そんな願いを叶えるのがトラストストア検証です。 こちらを使うことで、事前にアップロードしておいたCAバンドルとCRLを用いてALB側でクライアント証明書の検証をしてくれま
はじめに テントの中から失礼します、IoT 事業部のてんとタカハシです! API Gateway では mTLS による認証をサポートしています。元々は、ACM で発行したサーバ証明書のみに限定されていましたが、昨年(2021年)の8月から、独自 CA で発行したサーバ証明書についても mTLS で使用することが可能になりました。 今回は、独自 CA で発行したサーバ証明書を使用して、API Gateway で mTLS を設定する手順を試してみます。せっかくなので、AWS の環境上に何もリソースを作成していない状態からの手順を記載していきます。 尚、本記事を作成するにあたり、下記の記事を参考にしました。 手順 ドメインを取得する API Gateway で mTLS を設定するためには、カスタムドメインを作成する必要があります。となると、まずはカスタムドメインを作成するためのドメインを用
GitHubでセキュリティ研究者のマイケル・ステパンキン氏は2023年8月17日(米国時間)、相互TLS認証(mTLS)の誤った実装によるセキュリティリスクを警告する記事をGitHubの公式ブログで公開した。 TLS認証は、GmailやGitHubなどのWebサイトに接続する際、クライアントであるブラウザ側は、サーバから提供された証明書を確認し、本当に接続したいWebサイトであるかどうかを検証している。mTLS認証は、クライアントとサーバの両方が本当に正しいクライアント、サーバかどうかを相互で検証、認証する方式を指す。 ステパンキン氏は「近年、ゼロトラストネットワークにおいて、クライアント認証の手段として、mTLS認証が使用されるようになっている。X.509証明書に基づくmTLS認証は、パスワードやトークンに比べて利点があるが、複雑さも増す」と指摘する。 JavaのWebアプリケーションに
mTLS を利用することで、クライアント・サーバー間で強固な認証の仕組みを簡単に導入することができます。 今回は Go で書いたバッチ処理の結果を Cloudflare Workers 経由でデータベースに保存した歳に、 Go から Cloudflare Workers へのアクセス制御に Cloudflare mTLS を採用したので、まとめておきました。 個人的に mTLS (Clouddflare mTLS) を流行らせたいという思いもあります。 Go のコード package main import ( "crypto/tls" "crypto/x509" "io" "log" "net/http" "net/url" "os" "time" ) const ( // mTLS を有効にして保護している URL // クライアント証明書が無い状態でアクセスするとエラーコード 102
I am happy to share that Azure Application Gateway now supports mutual transport layer security (mTLS) and online certificate status protocol (OCSP). This was one of the key questions from our customers as they were looking for more secure communication options for the cloud workloads. Here, I cover what mTLS is, how it works, when to consider it, and how to verify it in Application Gateway. What
はじめに 特に金融系のAPI等、より強固な認証を求められるIoTデバイス等からの認証を行う際にはクライアント証明書による認証を求められることがあるかと思います。当記事では、Amazon API Gateway(執筆時点ではRegionalおよび、HTTP API限定)によるmTLS(Mutual TLS authentication)について構成を試したので記載したいと思います。 当機能に関するドキュメントとしてこちらを参考にして構築しました。 なお、当記事は2020年3月にGAしたHTTP APIをベースに記載しており、従来からあるREST APIについては検証・記載しておりません。 (この記事30分くらいの検証と2時間くらいの執筆かな~と持っていたら、苦労したことに書きましたが、自分の構成管理ミスで思ったより手間取りました。そして証明書のチェーン(中間CA)も作ろうと思ってまだ作れてな
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
