F5 LTM - Client Authentication with certificate

La première fois que j'ai créé une iRule pour l'authentification client, c'était il y a 10 ans lorsqu'un client m'a demandé de le faire. J'étais un débutant. Aujourd'hui, j'ai créé beaucoup d'iRule pour une telle chose. Cependant, il y a une grande différence entre la première fois et aujourd'hui, je connais maintenant tous les messages TLS que ce type d'authentification nécessite. Il devrait y avoir une Hello Request ainsi qu'une Certificate Request. Ces messages sont vraiment intéressants lorsque vous devez dépanner une configuration d'authentification client.

J'ai dessiné tous les messages TLS que vous pouvez avoir pendant le processus d'authentification du client. Il est important de connaître tous ces messages. Il est également important de savoir qu'il existe deux SSL Handshakes lorsque HTTPS est de bout en bout. Le premier entre le client et F5 BIG-IP, et l'autre entre le F5 BIG-IP et le serveur/nœud. De plus, vous devez savoir qu'il existe un processus de renégociation lorsque F5 BIG-IP demande le certificat au client. Par conséquent, il y a beaucoup de choses à prendre en compte dans ce type d'authentification..

 

Messages TLS

Néanmoins, j'ai enregistré une vidéo où vous pouvez voir comment vous pouvez exiger un certificat pour l'authentification du client. C'est vraiment facile. Une iRule fait tout pour nous. Une iRule demande le certificat et la même iRule crée un en-tête HTTP pour envoyer le certificat au serveur/nœud. De plus, j'ai modifié l'iRule pour déchiffrer le trafic TLS pour vous. Je pense que le décryptage du trafic HTTPS est le meilleur moyen de savoir comment fonctionne l'authentification client avec certificat.

Je souhaite que vous appreniez quelque chose de cet article! Passe une bonne journée !