Fähigkeiten mtls-configuration
🔐

mtls-configuration

Sicher 🌐 Netzwerkzugriff⚙️ Externe Befehle

mTLS für Zero-Trust-Netzwerke konfigurieren

Sichere Dienst-zu-Dienst-Kommunikation mit gegenseitiger TLS-Authentifizierung. Diese Skill bietet sofort einsetzbare Vorlagen für Istio, Linkerd, SPIFFE und cert-manager zur Implementierung von Zero-Trust-Sicherheit in Kubernetes-Umgebungen.

Unterstützt: Claude Codex Code(CC)
📊 71 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "mtls-configuration". Enable strict mTLS for my Istio mesh in the production namespace

Erwartetes Ergebnis:

  • PeerAuthentication-Ressource im istio-system-Namespace mit STRICT-Modus erstellt
  • Mesh-weites mTLS mit gegenseitiger Authentifizierung für alle Dienste angewendet
  • DestinationRule mit ISTIO_MUTUAL-Modus für automatische Zertifikatsverwaltung hinzugefügt
  • Hinweis: Bestehende Verbindungen werden abgelehnt, bis Clients ihre Konfigurationen aktualisieren
  • Verwende 'istioctl authn tls-check' zur Überprüfung des mTLS-Status nach der Bereitstellung

Verwendung von "mtls-configuration". Configure cert-manager for automatic workload certificates with 24-hour rotation

Erwartetes Ergebnis:

  • ClusterIssuer namens 'istio-ca' für Zertifikatssignierung erstellt
  • Certificate-Ressource mit 24-Stunden-Gültigkeit und 8-Stunden renewBefore generiert
  • commonName und dnsNames für Dienst-Identität angegeben
  • Server-Auth- und Client-Auth-Zertifikatsverwendungen konfiguriert
  • Secret 'my-service-tls' wird automatisch erstellt, wenn das Certificate ausgestellt wird

Verwendung von "mtls-configuration". Set up SPIRE for workload identity in my Kubernetes cluster

Erwartetes Ergebnis:

  • ConfigMap für SPIRE-Server mit sqlite3-Datastore erstellt
  • k8s_psap-Node-Attestator mit Demo-Cluster-Service-Account-Allow-Liste konfiguriert
  • UpstreamAuthority-Plugin mit datenträgerbasierten Bootstrap-Credentials eingerichtet
  • DaemonSet für SPIRE-Agent mit Socket-Volume-Mount generiert
  • Trust-Domain als 'example.org' konfiguriert

Sicherheitsaudit

Sicher
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
Gescannte Dateien
527
Analysierte Zeilen
2
befunde
4
Gesamtzahl Audits

Risikofaktoren

🌐 Netzwerkzugriff (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ Externe Befehle (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
Auditiert von: claude Audit-Verlauf anzeigen →

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
29
Community
100
Sicherheit
91
Spezifikationskonformität

Was du bauen kannst

Service-Mesh-Sicherheit bereitstellen

Mesh-weite mTLS-Policies und Zertifikatsverwaltung für Multi-Tenant-Kubernetes-Cluster konfigurieren

mTLS-Fehler debuggen

TLS-Handshake-Fehler zwischen Diensten mit istioctl- und kubectl-Befehlen diagnostizieren und beheben

Zero-Trust-Architektur implementieren

Zertifikatshierarchien und mTLS-Anforderungen für die Compliance mit PCI-DSS oder HIPAA entwerfen und dokumentieren

Probiere diese Prompts

Striktes mTLS aktivieren 
Aktiviere striktes mTLS in meinem Istio-Mesh im Production-Namespace. Erstelle PeerAuthentication- und DestinationRule-Ressourcen für die Namespace-Level-Durchsetzung.
Cert-manager-Integration 
Konfiguriere cert-manager zur Ausstellung von Workload-Zertifikaten für meine Istio-Dienste mit 24-Stunden-Gültigkeit und automatischer Erneuerung vor Ablauf.
SPIFFE-Workload-Identität 
Erstelle SPIRE-Server- und Agent-Konfigurationen für Workload-Identität in einer Multi-Cluster-Kubernetes-Umgebung mit example.org als Trust-Domain.
TLS-Handshake debuggen 
Meine Istio-Dienste können nicht kommunizieren. Verwende istioctl-Befehle, um den Peer-Authentifizierungsstatus zu überprüfen, Destination-Rules zu verifizieren und TLS-Handshake-Fehler zu debuggen.

Bewährte Verfahren

  • Beginne mit PERMISSIVE-Modus während der Migration und wechsle dann zu STRICT, nachdem alle Dienste validiert wurden
  • Verwende kurzlebige Zertifikate (24 Stunden oder weniger) mit automatischer Rotation für Workload-Identitäten
  • Überwache Zertifikatsablauf und richte Alarme ein, um Dienstunterbrechungen zu verhindern

Vermeiden

  • mTLS aus Bequemlichkeit in Produktionsumgebungen deaktivieren
  • Selbstsignierte Zertifikate ohne ordnungsgemäße CA-Hierarchie verwenden
  • Zertifikatsablaufdaten ignorieren oder Rotationsplanung überspringen

Häufig gestellte Fragen

Welche Service-Mesh-Plattformen werden unterstützt?
Istio, Linkerd und SPIFFE/SPIRE werden vollständig abgedeckt. Vorlagen umfassen PeerAuthentication, DestinationRule, Server und SPIRE-Konfigurationen.
Welche Zertifikatsgültigkeitszeiträume werden empfohlen?
Verwende 24-Stunden-Zertifikate für Workloads mit automatischer Erneuerung. Root-CA-Zertifikate können eine längere Gültigkeit haben mit ordnungsgemäßer Rotationsplanung.
Wie integriert sich diese Skill mit bestehenden Tools?
Diese Skill generiert YAML-Manifeste. Wende sie mit kubectl an oder integriere sie mit GitOps-Tools wie ArgoCD oder Flux.
Sind meine Zertifikatsdaten sicher?
Diese Skill generiert, speichert oder überträgt keine Zertifikate. Alle Zertifikatsdaten werden von Ihrem Cluster-c cert-manager oder CA-Infrastruktur verarbeitet.
Warum schlagen meine Dienste nach der Aktivierung von mTLS fehl?
Überprüfe, ob Dienste mTLS unterstützen, verifiziere, dass Destination-Rules angewendet sind, und stelle sicher, dass Sidecar-Proxies neu geladen wurden. Verwende PERMISSIVE-Modus während der Migration.
Wie unterscheidet sich dies von Standard-TLS?
mTLS erfordert, dass sowohl Client als auch Server Zertifikate präsentieren. Dies ermöglicht bidirektionale Authentifizierung für Zero-Trust-Dienst-zu-Dienst-Kommunikation.

Entwicklerdetails

Autor

wshobson

Lizenz

MIT

Repository

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Ref

main

Dateistruktur

📄 SKILL.md