Edge NodeからオリジンへのmTLS ¶

相互TLS（mTLS）は、Wallarm Edge Nodeがクライアント証明書を使用してオリジンに対して自身を認証できるようにします。これにより、オリジンは信頼できる送信元からのリクエストのみを受け入れるようになります。

Security Edgeの構成時に、Edge Node用のクライアント証明書を生成してアップロードできます。

仕組み¶

オリジンでmTLSを有効にした場合：

1. フィルタリング済みトラフィックをオリジンに転送する前に、Edge NodeはTLSハンドシェイク中にクライアント証明書を提示します。

2. オリジンは、信頼できるCA（認証局）バンドルに対して証明書を検証します。

3. 証明書が有効で、期待されるパラメータ（例：Common NameまたはSubject Alternative Name）に一致する場合、接続が確立され、リクエストが受け入れられます。

mTLSの有効化¶

複数の証明書をアップロードし、オリジンごとに異なる証明書を割り当てることができます。

1. 信頼できるCAにより署名されたクライアント証明書と秘密鍵のペアを生成します。次の要件を満たす必要があります。

   • クライアント証明書：X.509、PEM形式。

     Extended Key Usage (EKU)拡張にClient Authenticationが設定されている必要があります。

   • 秘密鍵：PEM形式。クライアント証明書に対応している必要があります。

   • CAバンドル：PEM形式。クライアント証明書の発行元認証局を含む必要があります。

2. Wallarm Console → Security Edge → ConfigureのGeneral settingsで、証明書、秘密鍵、CAバンドルをアップロードします。

3. Originsセクションで、対象のオリジンに対してRequire mTLS from Edge Nodeを有効にし、適切な証明書を選択します。

   必要に応じて、各オリジンは異なる証明書を使用できます。

4. 設定をSaveします。

5. オリジンを、受信接続でmTLSを必須にするように構成します。クライアント証明書の発行に使用したCAバンドルを信頼するように設定します。

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send