使用相互 TLS(mTLS)进一步保护你的 Tailscale 基础架构

主要观点:作者利用 Tailscale 的内置证书来保障本地服务的安全,后为未提供真实认证的服务(如 Gollum)使用 Mutual TLS(mTLS),并详细介绍了在 macOS 和 Linux 上生成客户端证书、在浏览器中导入证书以及在服务器上设置 mTLS 的步骤,还通过 curl 进行了测试,最后提醒客户端证书会过期需定期重复操作。
关键信息

  • 在 macOS 上通过特定脚本生成客户端证书及 PKCS#12 包,在 Linux 可直接用tailscale cert命令生成并生成包。
  • 在 Firefox 中导入证书的步骤。
  • 使用ghostunnel在服务器上设置 mTLS,可自动应用规则集限制访问设备。
  • 通过curl进行测试,成功后在浏览器中使用新安装的客户端证书进行认证。
    重要细节
  • macOS 上生成证书的脚本中,通过Tailscale命令获取 FQDN,生成证书和 PKCS#12 包,需设置密码,生成后可打开包含证书的文件夹进行导入。
  • ghostunnel的 Docker 运行命令中,指定了监听端口、目标服务器、证书和密钥路径等,还设置了允许的客户端证书 CN。
  • curl测试时需指定客户端证书的密钥和证书文件路径,访问服务器地址。
  • 客户端证书会过期需定期重复操作。最后推荐了作者的 podcast 及纠错方式。
阅读 43
0 条评论