- 综合排序
- 最热优先
- 最新优先
- 来自专栏MCP
MCP双向认证体系:mTLS 安全通信
(二)mTLS(Mutual TLS)大家都知道 TLS 是传输层安全协议,用于在互联网通信中提供加密等安全保障。 而 mTLS 则是 mutual TLS,即双向 TLS,它要求通信双方都进行身份验证。 四、基于 MCP 的 mTLS 双向认证体系工作原理(一)证书签发阶段证书申请 :客户端和服务端分别向 CA 发起证书申请请求。 只有当双方都成功验证对方的证书后,才会建立安全通信通道,数据传输过程就会被加密保护,从而实现了基于 MCP 的 mTLS 双向认证安全通信。 性能开销相比于单向认证,mTLS 双向认证在每次通信握手过程中增加了更多的身份验证步骤,这会带来一定的性能开销,可能导致通信延迟增加。
1.3K10编辑于 2025-05-08 - 来自专栏云云众生s
Kubernetes中使用mTLS保护微服务通信
启用双向 TLS(mTLS)可提高安全性,本文将详述 mTLS 的使用入门方法。 双向传输层安全性(mTLS)已成为解决这些安全性挑战的有力解决方案。 mTLS 建立在传输层安全性(TLS)协议的基础之上,这是通过加密来保护互联网通信安全的常用方式。 mTLS 和 Kubernetes Kubernetes 提供了实现 mTLS 的理想平台,因为它具备动态服务发现和管理功能。 在 Kubernetes 中实现 mTLS 的先决条件 在 Kubernetes 集群中开始实施 mTLS 之前,请确保具备以下先决条件。 Kubernetes 集群。 随着您深入了解 mTLS,请探索 Istio 等服务网格提供的更广泛利益。Istio 不仅提供 mTLS,还提供全套安全和可观测性工具。
59210编辑于 2024-03-28 - 来自专栏黑客下午茶
Linkerd 2.10(Step by Step)—生成您自己的 mTLS 根证书
Kustomize 自定义 Linkerd 的配置 Linkerd 2.10 中文手册持续修正更新中: https://linkerd.hacker-linner.com 为了支持网格化 Pod 之间的 mTLS
75610发布于 2021-07-07 - 来自专栏k8s技术圈
在 Linkerd 中使用 mTLS 保护应用程序通信
换句话说,不仅通信被加密,而且身份也在连接的两端进行验证(mTLS 的双向组件与浏览器使用的 TLS 不同,它只验证连接的服务器端,mTLS 验证客户端和服务器的身份)。 默认情况下,Linkerd 为所有网格中的 pod-to-pod 通信启用了 mTLS,只要双方都注入了数据平面代理,那么恭喜你:你已经在服务之间验证了加密的 mTLS。 事实上,前面我们使用的 Emojivoto 应用程序中就已经在使用 mTLS 了,只是我们没有意识到而已。 对对于 Linkerd 自动添加 mTLS 的功能,有几个需要注意的地方。 Linkerd 需要同时处理客户端和服务器端的连接才能发挥其 mTLS 的魔力。 接下来让我们来了解下 mTLS 是如何工作的,以及如何验证我们的连接是否确实具有 mTLS。
1.1K20编辑于 2022-09-29 mTLS 证书 EKU 故障分析:从原理到四种故障场景的完整拆解
一、什么是mTLS?从普通TLS说起最早的互联网通信是明文的,HTTP裸跑。中间人可以窃听、篡改。 mTLS解决什么问题在企业内部、微服务之间、设备通信这些场景里,没有"登录页面",两个服务之间要直接互信。 mTLS(mutualTLS,双向TLS)就是在标准TLS握手的基础上,加了一步:服务端也要求客户端出示证书。一句话:普通TLS是"我验你",mTLS是"你我互验"。 ,双方都需要确认对方身份二、mTLS握手流程下图展示了一次完整的mTLS握手。 橙色部分是mTLS比普通TLS多出来的步骤——服务端发CertificateRequest,要求客户端也出示证书。
9000编辑于 2026-04-06OpenClaw安全加固实战:基于mTLS打造零信任安全网关
安全挑战:为什么需要mTLS? 本文将基于零信任理念,以 mTLS(双向 TLS 认证)为核心,手把手带你打造一个安全可靠的 OpenClaw 网关,让数字员工在公网上也能安全履职。 3. 为什么选择mTLS? 不同的是 mTLS 证书自签是完全没有问题的,不像 HTTPS 证书需要被浏览器信任。 OpenClaw 配置 在配置Nginx的mTLS防护之前,需要确保OpenClaw本身的安全部署。 证书选择 如果访问成功,说明我们的mTLS配置已经生效,只有持有合法证书的设备才能访问OpenClaw。 8. 最后 这套mTLS+Nginx的方案虽然配置稍显复杂,但提供了企业级的安全保障。
15610编辑于 2026-04-14- 来自专栏软件分析的艺术
openssl 3.5+命令行实现后量子算法(PQC)版本的mTLS双向认证
量子计算机破解传统算法 → 后量子部分仍安全 场景2:后量子算法被发现漏洞 → 传统部分仍安全 场景3:两种算法都被破解 → 极低概率 平滑过渡 兼容现有系统 逐步迁移到后量子密码学 不中断现有服务 后量子算法的mTLS
1.3K10编辑于 2025-09-17 - 来自专栏不止于python
零信任架构下的服务安全实践:手把手构建企业级mTLS认证体系
最近,我们完成了从传统HTTP到全链路mTLS的升级改造,将服务间通信的安全等级提升到了一个新的高度。 2.0 功能完善,标准协议 实现复杂,适合第三方认证 mTLS 强身份验证,自动过期,细粒度控制 证书管理稍复杂 mTLS的核心优势 1. scp /etc/pki/mtls/ca/ca-111.crt root@192.168.8.222:/etc/pki/mtls/ca/ # 在222服务器上执行 scp /etc/pki/mtls etc/pki/mtls/client/client-${LAST_OCTET}.p12" /etc/ssl/client/ # 安装CA证书 sudo cp "/etc/pki/mtls/ca/ca /bin/bash # test-mtls-deployment.sh set -e echo "=== mTLS部署验证脚本 ===" echo test_server() { local
17510编辑于 2026-03-18 文献分享----头颈癌中成熟的三级淋巴结构通过祖细胞衰竭的CD4+ T细胞引起肿瘤内T和B细胞反应
非mTLS肿瘤不促进局部抗肿瘤免疫,其富含免疫抑制细胞或缺乏干细胞样B和T细胞。 mTLS状态包含大量扩增的CD8+ T细胞克隆型。在mTLS内CD8+ T细胞的扩增克隆型中鉴定出干细胞样和功能表型之间共享克隆型的频率增加。 mTLS与干细胞样CD8+ T细胞表型的更多富集相关,并且成熟的CD8+ T细胞向功能性CD8+ T细胞转变,表明mTLS可以产生肿瘤内CD8+ T细胞应答。 结果6、mTLS中DC的积聚TLS中DC细胞的再分群与功能分析。主要存在于mTLS中的cDC 2亚群显示出与外源性抗原的加工和呈递以及IG产生相关的特征的显著富集。 结果8、在HNSCC中,mTLS与更好的生存率和对ICB治疗的反应相关mTLS与HNSCC中对ICB治疗的反应改善有关。
41220编辑于 2025-06-06- 来自专栏赵化冰的技术博客
Istio 运维实战系列(2):让人头大的『无头服务』-上
下面我们就一个由于 Headless Service 的 mTLS 故障导致的典型案例进行说明。 Redis 客户端中 Envoy Sidecar 的 mTLS 配置本身看来并没有什么问题。 Redis 客户端以为是这样的: 但实际上是这样的: 在服务器端没有安装 Envoy Sidecar,不支持 mTLS 的情况下,按理客户端的 Envoy 不应该采用 mTLS 向服务器端发起连接。 这样同时兼容了服务器端支持和不支持 mTLS 两种情况。 下图展示了 Istio 中是如何通过 endpoint 的标签来兼容 mTLS 和 plain TCP 两种情况的。 中不再有 mTLS 相关的证书配置。
1.1K20编辑于 2022-08-01 - 来自专栏张善友的专栏
Dapr 证书过期了怎么办? 别慌,有救!
一、背景 Dapr 默认证书有效时间是1年,证书过期后就不能执行相关控制面和数据面的交互了,如下图: 二、查看证书有效时间 通过dapr mtls expiry 看到期时间,具体参见命令https:/ /v1-7.docs.dapr.io/reference/cli/dapr-mtls/dapr-mtls-expiry/ 三、解决方案 Dapr 支持使用 Dapr 控制平面、Sentry 服务(中央证书颁发机构 具体参见 https://docs.dapr.io/operations/security/mtls/。 Dapr 在1.7版本引入了一个新的命令: dapr mtls renew-certificate -k --valid-until <days> –restart 生成全新的根证书和颁发者证书,由新生成的私钥签名 1.7 版本以后Dapr 在这个方面做的更完善了,为 Dapr 控制平面 mTLS 证书过期设置监控 从 mTLS 根证书到期前 30 天开始,Dapr 哨兵服务将发出每小时警告级别的日志,指示根证书即将到期
1.3K10编辑于 2022-10-04 - 来自专栏腾讯云原生团队
Istio 运维实战系列(2):让人头大的『无头服务』-上
下面我们就以一个由于 Headless Service 的 mTLS 故障导致的典型案例进行说明。 Redis 客户端中 Envoy Sidecar 的 mTLS 配置本身看来并没有什么问题。 在服务器端没有安装 Envoy Sidecar,不支持 mTLS 的情况下,按理客户端的 Envoy 不应该采用 mTLS 向服务器端发起连接。这是怎么回事呢? 这样同时兼容了服务器端支持和不支持 mTLS 两种情况。 下图展示了 Istio 中是如何通过 endpoint 的标签来兼容 mTLS 和 plain TCP 两种情况的。 ? 中不再有 mTLS 相关的证书配置。
4K2710发布于 2020-09-21 - 来自专栏istio
istio 数据面调试指南
场景二:调试 istio mtls 神坑 我们在现有环境中开启 mtls: 在 istio-system namespace 中配置mtls 所需 meshpolicy 和 destinationrule 原来我们在上一个 demo 中增加的 helloworld DestinationRule中, 默认是没有 mtls 定义(所以不开启 mtls),这个 DR 会在 helloworld pod 中覆盖 我们在 helloworld DestinationRule 中补充 mtls 配置: % kubectl apply -f hello-v1-destinationrule-with-mtls.yaml 这种 istio mtls 用户接口极度不友好,虽然 mtls 默认做到了全局透明, 业务感知不到 mtls 的存在, 但是一旦业务定义了 DestinationRule,DestinationRule 就必须要知道当前 mtls 是否开启,并作出调整。
2.9K30发布于 2020-02-12 - 来自专栏kali blog
Sliver C2 从入门到精髓
生成shell 命令格式如下: generate --mtls <Server IP> --save . /test.exe --os Windows 命令详解: --mtls:监听协议(包括http、mtls、grpc ) 开启监听 如上一步,我们生成shell所用的监听协议为mtls,故我们要配置mtls 在终端执行命令 mtls 通过输入jobs命令,可以查看目前开启的监听。 默认端口是8888 如果要指定端口,执行命令 mtls -l 9999 查看生成过的shell implants 运行shell后,server和client端都会得到会话的消息。
6.7K50编辑于 2022-11-22 - 来自专栏istio
istio 常见异常分析
中的 mTLS 配置有关,是 istio 中一个不健壮的接口设计。 中可以覆盖子版本的 mTLS 值(默认是不开启!) 最终导致增 DestinationRule 后 mTLS 变成了不开启,导致connection termination 为了修复以上问题,用户不得不在所有 DestinationRule 中增加 mTLS 属性并设置为开启 这种 istio mtls 用户接口极度不友好,虽然 mtls 默认做到了全局透明, 业务感知不到 mtls 的存在, 但是一旦业务定义了 DestinationRule,DestinationRule 就必须要知道当前 mtls 是否开启,并作出调整。
4K62发布于 2020-03-09 - 来自专栏伪架构师
Istio Helm Chart 详解 —— 概述
values-istio-auth-galley.yaml:启用控制面 mTLS;缺省打开网格内的 mTLS;启用 Galley。 values-istio-auth-multicluster.yaml:多集群配置;启用控制面 mTLS;缺省打开网格内的 mTLS;禁用自签署证书。 values-istio-auth.yaml:启用控制面 mTLS;缺省打开网格内的 mTLS。 values-istio-demo-auth.yaml:启用控制面 mTLS;缺省打开网格内的 mTLS;激活 Grafana、Jaeger、ServiceGraph 以及 Galley;允许自动注入。 values-istio-one-namespace-auth.yaml: values-istio-one-namespace.yaml:启用控制面 mTLS;缺省打开网格内的 mTLS; values-istio.yaml
1.5K30发布于 2019-07-23 - 来自专栏黑客下午茶
Linkerd stable-2.11.0 稳定版发布:授权策略、gRPC 重试、性能改进等!
这些策略直接建立在 Linkerd 的自动 mTLS 功能提供的安全服务身份上。 https://linkerd.io/2.11/features/automatic-mtls 为此,Linkerd 2.11 引入了一组默认授权策略,只需设置 Kubernetes annotation 即可应用于 cluster、namespace 或 pod 级别,包括: all-authenticated(只允许来自 mTLS-validated 服务的请求); all-unauthenticated 中所有 pod 上的所有管理端口(admin ports),ServerAuthorization 可以允许来自 kubelet 的健康检查连接,或用于指标收集(metrics collection)的 mTLS 这些 annotation 和 CRD 一起使您可以轻松地为集群指定各种策略,从 “允许所有流量” 到 “服务 Foo 上的端口 8080 只能从使用 Bar 服务帐户的服务接收 mTLS 流量”,更多
47320发布于 2021-10-12 - 来自专栏猫头虎博客专区
实现安全的服务通信:探索如何使用服务网格来确保服务间的安全通信
在这篇文章中,我将与大家分享如何利用服务网格实现安全的服务间通信,探索mTLS、授权和身份验证等 。对于关心微服务安全的你,这是一篇必读的技术博客! 安全通信的核心要素 2.1 mTLS:双向TLS加密 mTLS为服务间的通信提供双向验证和加密,确保通信的机密性和完整性。 apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: mtls-for-service spec 通过mTLS、身份验证和授权,我们可以确保服务间的通信既安全又高效。随着技术的发展,服务网格在安全领域的作用将进一步加强,为开发者和企业提供更强大的支持。
52010编辑于 2024-04-09 - 来自专栏CNCF
使用 Linkerd 大规模 mTLSing 服务而不影响开发人员的生产力
在这篇博客文章中,我将分享 Connect 的云团队如何将其整个平台迁移到云原生架构,同时对所有服务进行 mTLS("mTLSing"),以符合严格的监管要求。 令我们惊讶的是,mTLS 方面相当简单。Linkerd 在一个小时内安装好,在一周内运行到产品中,而没有影响到我们的开发团队。 跨所有服务的 mTLS 是一项监管要求 Connect 是在一个高度监管的环境中运营的,因此,我们必须考虑一些重要的因素——毕竟,我们正在处理高度敏感的金融数据。 我们能够在 5 个月内 mTLS 了所有服务,同时最大限度地减少对开发人员生产力的影响。此外,平台指标已被证明在调试和保持服务运行状况时可以节省时间。 今天,没有理由不 mTLS 你所有的服务。
50520编辑于 2022-03-28 - 来自专栏让技术和时代并行
使用 Cilium 服务网格的下一代相互身份验证
在这篇博客中,我们将扩展 mTLS 的主题,并研究 Cilium 如何提供具有出色安全性和性能特征的基于 mTLS 的无边车身份验证。 相互身份验证一直是安全的基石,我们每天都在使用 SSH、mTLS 或 IPsec 等协议和技术来解决安全问题。 Mutual TLS 或 mTLS 是一种众所周知的实现相互身份验证的加密流量的方法,但它不是唯一的方法。 支持现有的身份和证书管理:任何基于 mTLS 的身份验证控制平面或身份管理系统都可以插入并用于为服务提供证书。 左边是传统的基于 sidecar 的 mTLS 方法,依靠 sidecar 将 TLS 注入每个连接。
1.3K10编辑于 2023-03-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号