使用 mTLS 保护 Spring Boot 应用程序 - 在 Swisscom App Cloud 上运行

Question

我有一个部署到 Swisscom App Cloud 的 Spring Boot 应用程序，应该使用 mTLS 进行保护。

显然有 spring 安全性...特定于 Swisscom App Cloud 我读到关于保护https://docs.developer.swisscom.com/adminguide/securing-traffic.html 上的流量。

我不清楚这两者是如何一起玩的......

• 如果我通过 Spring Security 启用 mTLS，它会按原样工作还是需要为 Swisscom App Cloud 进行额外配置？ （我遇到了 HTTP 路由，其中​​提到为 mTLS https://docs.developer.swisscom.com/concepts/http-routing.html 传递客户端证书）
• Swisscom App Cloud 上的 mTLS 配置是否可以替代我使用 spring security 启用的功能，还是我仍需要在我的应用程序中配置某些内容？
• 安全流量提到了部署清单和 BOSH 清单，后者（可能是额外的）配置是否需要在 Swisscom App Cloud 上启用 mTLS（即，除了部署清单之外，我是否需要访问配置）？

---

更新

我的用例是我有一个 REST API，它将被 Swisscom App Cloud 之外的客户端使用。决定使用 mTLS 对其进行保护。

Answer 1

您所指的管理员指南适用于平台运营商（即 Swisscom），因此它不是最终用户可以利用的资源。

您的用例是什么？如果检查列表只是安全要求，请注意平台本身很快就会在内部使用 mTLS，因此直到应用容器得到保护为止的整个路径。这对您的审计员来说可能就足够了。

如果您确实需要自己验证客户端证书，CF 的做法是利用 X-Forwarded-Client-Cert (https://docs.cloudfoundry.org/concepts/http-routing.html#-forward-client-certificate-to-applications)。

但是，我们目前尚未启用此功能（直到现在才需要），但我们可以这样做。

更新：

根据这个explanation，X-Forwarded-Client-Cert的插入实际上是由平台透明地完成的。因此，如果您将客户端应用程序的证书添加到服务器应用程序的信任库，它将验证客户端证书。

更新 2： 正如您在下面的讨论中看到的那样，从概念上看，目前似乎没有简单的方法允许应用程序使用 X-Forwarded-Client-Cert 执行正确的 mTLS。目前唯一的选择是使用 tcp 路由，您可以向 Appcloud 支持团队提出请求。