Como configurar mTLS

Mutual Transport Layer Security (mTLS) é um protocolo de criptografia baseado no Transport Layer Security (TLS), que valida o certificado digital de ambas as pontas de uma requisição.

Para configurar mTLS nas suas aplicações é necessário ativar o serviço através da nossa equipe de Vendas, além de possuir um certificado digital com suporte para mTLS, fornecido por uma autoridade certificadora terceira. Na Azion, chamamos esse certificado de Trusted Certificate (Trusted CA).

Mais informações sobre requisitos, certificados digitais, Trusted CA e como mTLS funciona na Azion estão disponíveis na página Suporte para mTLS.

Adicione um Trusted CA à sua biblioteca de Digital Certificates

Com seu Trusted CA criado, é necessário adicioná-lo à sua biblioteca de Digital Certificates, em Edge Libraries:

Acesse o Azion Console > Digital Certificates, na seção Edge Libraries.
Clique no botão + Digital Certificate.
Na página de cadastro de novos certificados, defina um nome de identificação para este certificado no campo Name.
Na seção Import or Request Certificate, selecione a opção Import a Trusted CA certificate.
Em Private Certificate, insira o conteúdo que representa seu Trusted CA.

O arquivo do certificado precisa ser do tipo .pem Privacy Enhanced Mail (PEM). Exemplo: certificado.pem.

Clique no botão Save para prosseguir.

Acesse o Real-Time Manager (RTM).
Abra o Products menu, indicado pelas três linhas horizontais, e selecione Digital Certificates, na seção Edge Libraries.
Clique no botão Add certificate e selecione a opção Trusted CA Certificate no menu dropdown.
Na página de cadastro de novos certificados, defina um nome de identificação para este certificado no campo Digital Certificate Name.
Em Certificate, insira o conteúdo que representa seu Trusted CA.

O arquivo do certificado precisa ser do tipo .pem Privacy Enhanced Mail (PEM). Exemplo: certificado.pem.

Clique no botão Save para prosseguir.

Você será redirecionado para a página Digital Certificates, onde estarão listados todos os seus certificados, incluindo este recém-adicionado.

Escolha os domínios

Após adicionar um Trusted CA à sua biblioteca de certificados, é necessário configurar quais domínios devem operar com mTLS.

Ainda no Console, selecione Products menu > Domains.
Clique no domínio referente a aplicação que gostaria de configurar mTLS.
Ative o switch Mutual Authentication Settings.
Escolha qual o modo de verificação deseja utilizar. Pode ser Enforce ou Permissive.
Clique no botão Save para prosseguir.

Ainda no RTM, selecione Products menu > Domains.
Clique no domínio referente a aplicação que gostaria de configurar mTLS.
Ative o switch Enable Mutual Authentication (mTLS).
Escolha qual o modo de verificação deseja utilizar. Pode ser Enforce ou Permissive.
Selecione o Trusted CA Certificate, adicionado no passo anterior, no menu dropdown.
Clique no botão Save para prosseguir.

Adicione regras específicas para uso do Permissive mTLS

Para configurar a operação do modo Permissive:

Ainda no Console, selecione Products menu > Edge Firewall.
Selecione o edge firewall que deseja usar ou crie um novo edge firewall clicando no botão + Edge Firewall.
Em Domains, selecione o domínio da sua aplicação e cliquei no botão >, para mandar o domínio escolhido para Selected.
Clique em Save.
Clique na aba Rules Engine.
Clique no botão + Rule.
Escolha um nome identificador para esta regra.
Defina os Criteria e Behaviors específicos para sua necessidade.

Este exemplo segue a lógica:
- Criteria: If Host is equal yourDomain.com + And Client Certificate Validation is not equal true.
- Behaviors: Then Deny (403 Forbidden).

Certifique-se de que o switch Active está ativado.
Clique no botão Save.

Ainda no RTM, selecione Products menu > Edge Firewall.
Selecione o edge firewall que deseja usar ou crie um novo edge firewall clicando no botão Add Rule Set.
Em Domains, selecione o domínio da sua aplicação e cliquei no botão >, para mandar o domínio escolhido para Chosen Domains.
Clique em Save.
Clique na aba Rules Engine.
Clique no botão New Rule.
Escolha um nome identificador para esta regra.
Defina os Criteria e Behaviors específicos para sua necessidade.

Este exemplo segue a lógica:
- Criteria: If Host is equal yourDomain.com + And Client Certificate Validation is not equal true.
- Behaviors: Then Deny (403 Forbidden).

Certifique-se de que o switch Active está ativado.
Clique no botão Save.

Sem suporte a mTLS ativado na sua conta da Azion, a opção Client Certificate Validation no Criteria não irá aparecer.

Especifique variáveis do mTLS no Header da aplicação

Caso sua aplicação faça parte do modelo Open Banking, será necessário especificar as variáveis ${ssl_client_escaped_cert} e ${ssl_client_s_dn_parsed} no header da sua aplicação. Você também pode inserir outras variáveis do mTLS.

Consulte a lista de variáveis disponíveis

Para adicionar uma variável no header da sua aplicação, siga os passos:

No Console, selecione Products Menu > Edge Application.
Encontre e clique na aplicação com mTLS ativado.
Clique na aba Rules Engine.
Clique no botão + Rule.
Defina um nome identificador para esta rule.
Selecione Request Phase.
No campo Critéria, troque o operador is equal para exists.
No campo Behaviors selecione a opção Add Request Header e adicione a variável que deseja inserir no header da sua aplicação.

O uso do prefixo X- no header-name de variáveis HTTP customizadas é desencorajado pela entidade responsável pelo desenvolvimento do HTTP, Internet Engineering Task Force (IETF), desde 2012 (RFC 6648). A IETF recomenda o uso de um header-name comum, que indique o uso real da variável, mas que não conflite com as variáveis padrões.
Para adicionar mais uma variável, clique no + e volte para o passo 7.

Certifique-se que o switch Active está ativado.
Clique no botão Save.

No RTM, selecione Products Menu > Edge Application.
Encontre e clique na aplicação com mTLS ativado.
Clique na aba Rules Engine.
Clique no botão New Rule e selecione Request Phase.
Defina um nome identificador para esta rule.
No campo Critéria, troque o operador is equal para exists.
No campo Behaviors selecione a opção Add Request Header e adicione a variável que deseja inserir no header da sua aplicação.

O uso do prefixo X- no header-name de variáveis HTTP customizadas é desencorajado pela entidade responsável pelo desenvolvimento do HTTP, Internet Engineering Task Force (IETF), desde 2012 (RFC 6648). A IETF recomenda o uso de um header-name comum, que indique o uso real da variável, mas que não conflite com as variáveis padrões.
Para adicionar mais uma variável, clique no + e volte para o passo 7.

Certifique-se que o switch Active está ativado.
Clique no botão Save.

Uma das formas de testar a inserção dessas variáveis é com a ferramenta curl. A partir de um diretório contendo seu Trusted CA e sua respectiva chave em um arquivos .pem. Exemplo: cert.pem e key.pem, abra o terminal e rode curl -skv https://<yourDomain.com>/ -H "pragma:azion-debug-cache" -o /dev/stdout --cert cert.pem --key key.pem. Você deve encontrar header-name:value das variáveis adicionadas na resposta.