المهارات mtls-configuration
🔐

mtls-configuration

آمن 🌐 الوصول إلى الشبكة⚙️ الأوامر الخارجية

تكوين mTLS للشبكات ذات الثقة الصفرية

تأمين الاتصالات بين الخدمات باستخدام مصادقة TLS المتبادلة. توفر هذه المهارة قوالب جاهزة للاستخدام لـ Istio و Linkerd و SPIFFE و cert-manager لتنفيذ أمان الثقة الصفرية في بيئات Kubernetes.

يدعم: Claude Codex Code(CC)
📊 71 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "mtls-configuration". فعّل mTLS الصارم لشبكة Istio الخاصة بي في مساحة الاسم للإنتاج

النتيجة المتوقعة:

  • أنشأت مورد PeerAuthentication في مساحة الاسم istio-system بوضع STRICT
  • طبّقت mTLS على مستوى الشبكة يتطلب مصادقة متبادلة لجميع الخدمات
  • أضفت DestinationRule باستخدام وضع ISTIO_MUTUAL لإدارة الشهادات التلقائية
  • ملاحظة: سيتم رفض الاتصالات الموجودة حتى تُحدّث تكوينات العملاء
  • استخدم 'istioctl authn tls-check' للتحقق من حالة mTLS بعد النشر

استخدام "mtls-configuration". عيّن cert-manager لشهادات workload التلقائية مع تناوب 24 ساعة

النتيجة المتوقعة:

  • أنشأت ClusterIssuer باسم 'istio-ca' لتوقيع الشهادات
  • أنشأت مورد Certificate بمدة 24 ساعة و 8 ساعات كـ renewBefore
  • حدّدت commonName و dnsNames لهوية الخدمة
  • هيّأت استخدامات شهادات server auth و client auth
  • سيتم إنشاء Secret 'my-service-tls' تلقائيًا عند إصدار Certificate

استخدام "mtls-configuration". أعدّ SPIRE لهوية workload في كتلة Kubernetes الخاصة بي

النتيجة المتوقعة:

  • أنشأت ConfigMap لخادم SPIRE مع datastore sqlite3
  • هيّأت attestor k8s_psat مع قائمة مسموحات حساب الخدمة demo-cluster
  • هيّأت plugin UpcomingAuthority مع بيانات اعتماد تهيئة تعتمد على القرص
  • أنشأت DaemonSet لوكيل SPIRE مع تحميل حجم socket
  • trust domain مُهيّأ كـ 'example.org'

التدقيق الأمني

آمن
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
الملفات التي تم فحصها
527
الأسطر التي تم تحليلها
2
النتائج
4
إجمالي عمليات التدقيق

عوامل الخطر

🌐 الوصول إلى الشبكة (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ الأوامر الخارجية (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
تم تدقيقه بواسطة: claude عرض سجل التدقيق →

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
29
المجتمع
100
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

نشر أمان شبكة الخدمات

تكوين سياسات mTLS على مستوى الشبكة وإدارة الشهادات لكتل Kubernetes متعددة المستأجرين

تصحيح أخطاء mTLS

تشخيص وحل فشل مصافحة TLS بين الخدمات باستخدام أوامر istioctl و kubectl

تنفيذ بنية الثقة الصفرية

تصميم وتوثيق تسلسلات الشهادات ومتطلبات mTLS للتوافق مع PCI-DSS أو HIPAA

جرّب هذه الموجهات

تفعيل mTLS الصارم 
فعّل mTLS الصارم عبر شبكة Istio الخاصة بي في مساحة الاسم للإنتاج. أنشئ موارد PeerAuthentication و DestinationRule لفرض مستوى مساحة الاسم.
تكامل cert-manager 
عيّن cert-manager لإصدار شهادات workload لخدمات Istio الخاصة بي بمدة 24 ساعة وتجديد تلقائي قبل انتهاء الصلاحية.
هوية workload لـ SPIFFE 
أنشئ تكوينات خادم SPIRE وعميل Agent لهوية workload في بيئة Kubernetes متعددة الكتل مع example.org كـ trust domain.
تصحيح مصافحة TLS 
لا تستطيع خدمات Istio التواصل. استخدم أوامر istioctl للتحقق من حالة المصادقة النظيرية، وقواعد الوجهة، وتصحيح أخطاء مصافحة TLS.

أفضل الممارسات

  • ابدأ بوضع PERMISSIVE أثناء الترحيل، ثم انتقل إلى STRICT بعد التحقق من جميع الخدمات
  • استخدم شهادات قصيرة العمر (24 ساعة أو أقل) مع تناوب تلقائي لهويات workload
  • راقب انتهاء صلاحية الشهادات وأنصح بإعداد تنبيهات لمنع انقطاع الخدمة

تجنب

  • تعطيل mTLS للراحة في بيئات الإنتاج
  • استخدام شهادات موقعة ذاتيًا بدون تسلسل CA مناسب
  • تجاهل تواريخ انتهاء الشهادات أو تخطي خطة التناوب

الأسئلة المتكررة

ما المنصات المدعومة لشبكة الخدمات؟
Istio و Linkerd و SPIFFE/SPIRE مدعومة بالكامل. تشمل القالب PeerAuthentication و DestinationRule و Server وتكوينات SPIRE.
ما فترات صلاحية الشهادات الموصى بها؟
استخدم شهادات 24 ساعة لـ workloads مع تجديد تلقائي. يمكن أن تكون شهادات Root CA صالحة لفترة أطول مع خطة تناوب مناسبة.
كيف تتكامل هذه المهارة مع الأدوات الموجودة؟
تُنشئ هذه المهارة بيانات YAML. طبّقها باستخدام kubectl أو دمجها مع أدوات GitOps مثل ArgoCD أو Flux.
هل بيانات شهادتي آمنة؟
لا تُنشئ أو تُخزن أو تُرسل هذه المهارة أي بيانات شهادة. جميع بيانات الشهادة تُعالج بواسطة cert-manager للبنية التحتية لشبكتك أو CA.
لماذا تفشل خدماتي بعد تفعيل mTLS؟
تحقق مما إذا كانت الخدمات تدعم mTLS، وتأكد من تطبيق DestinationRules، وتأكد من إعادة تحميل الوكلاء الجانبية. استخدم وضع PERMISSIVE أثناء الترحيل.
كيف يختلف هذا عن TLS القياسي؟
يتطلب mTLS أن يُقدّم كل من العميل والخادم شهادات. يوفر هذا مصادقة ثنائية الاتجاه للاتصالات بين الخدمات ذات الثقة الصفرية.

تفاصيل المطور

المؤلف

wshobson

الترخيص

MIT

المستودع

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

مرجع

main

بنية الملفات

📄 SKILL.md