Habilidades mtls-configuration
🔐

mtls-configuration

Seguro 🌐 Acceso a red⚙️ Comandos externos

Configurar mTLS para redes de confianza cero

Protege la comunicación entre servicios con autenticación TLS mutua. Esta habilidad proporciona plantillas listas para usar para Istio, Linkerd, SPIFFE y cert-manager para implementar seguridad de confianza cero en entornos Kubernetes.

Soporta: Claude Codex Code(CC)
📊 71 Adecuado
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "mtls-configuration". Habilitar mTLS estricto para mi mesh Istio en el namespace de producción

Resultado esperado:

  • Creado recurso PeerAuthentication en namespace istio-system con modo STRICT
  • Aplicado mTLS a nivel de mesh requiriendo autenticación mutua para todos los servicios
  • Agregado DestinationRule usando modo ISTIO_MUTUAL para gestión automática de certificados
  • Nota: Las conexiones existentes serán rechazadas hasta que los clientes actualicen sus configuraciones
  • Usar 'istioctl authn tls-check' para verificar estado mTLS después del despliegue

Usando "mtls-configuration". Configurar cert-manager para certificados de carga de trabajo automáticos con rotación de 24 horas

Resultado esperado:

  • Creado ClusterIssuer llamado 'istio-ca' para firma de certificados
  • Generado recurso Certificate con duración de 24 horas y renewBefore de 8 horas
  • Especificado commonName y dnsNames para identidad de servicio
  • Configurado usos de certificado para autenticación de servidor y cliente
  • El Secret 'my-service-tls' se creará automáticamente cuando se emita el Certificate

Usando "mtls-configuration". Configurar SPIRE para identidad de carga de trabajo en mi cluster Kubernetes

Resultado esperado:

  • Creado ConfigMap para Servidor SPIRE con almacenamiento de datos sqlite3
  • Configurado atestiguador de nodo k8s_psat con lista permitida de cuentas de servicio demo-cluster
  • Configurado plugin UpstreamAuthority con credenciales de arranque basadas en disco
  • Generado DaemonSet para Agente SPIRE con montaje de volumen de socket
  • Dominio de confianza configurado como 'example.org'

Auditoría de seguridad

Seguro
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
Archivos escaneados
527
Líneas analizadas
2
hallazgos
4
Auditorías totales

Factores de riesgo

🌐 Acceso a red (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ Comandos externos (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
Auditado por: claude Ver historial de auditorías →

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
29
Comunidad
100
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Desplegar seguridad de service mesh

Configurar políticas mTLS a nivel de mesh y gestión de certificados para clusters Kubernetes multi-navegante

Depurar fallos de mTLS

Diagnosticar y resolver fallos de handshake TLS entre servicios usando comandos istioctl y kubectl

Implementar arquitectura de confianza cero

Diseñar y documentar jerarquías de certificados y requisitos mTLS para cumplimiento con PCI-DSS o HIPAA

Prueba estos prompts

Habilitar mTLS estricto 
Habilitar mTLS estricto en mi mesh Istio en el namespace de producción. Crear recursos PeerAuthentication y DestinationRule para aplicación a nivel de namespace.
Integración de cert-manager 
Configurar cert-manager para emitir certificados de carga de trabajo para mis servicios Istio con duración de 24 horas y renovación automática antes del vencimiento.
Identidad de carga de trabajo SPIFFE 
Crear configuraciones de Servidor y Agente SPIRE para identidad de carga de trabajo en un entorno Kubernetes multi-cluster con dominio de confianza example.org.
Depurar handshake TLS 
Mis servicios Istio no pueden comunicarse. Usar comandos istioctl para verificar el estado de autenticación entre pares, las reglas de destino y depurar errores de handshake TLS.

Mejores prácticas

  • Comenzar con modo PERMISSIVE durante la migración, luego transicionar a STRICT después de validar todos los servicios
  • Usar certificados de corta duración (24 horas o menos) con rotación automática para identidades de carga de trabajo
  • Monitorear el vencimiento de certificados y configurar alertas para prevenir interrupciones de servicio

Evitar

  • Deshabilitar mTLS por conveniencia en entornos de producción
  • Usar certificados autofirmados sin una jerarquía de CA adecuada
  • Ignorar fechas de vencimiento de certificados o saltarse la planificación de rotación

Preguntas frecuentes

¿Qué plataformas de service mesh están soportadas?
Istio, Linkerd y SPIFFE/SPIRE están completamente cubiertos. Las plantillas incluyen configuraciones de PeerAuthentication, DestinationRule, Server y SPIRE.
¿Qué períodos de validez de certificados se recomiendan?
Usar certificados de 24 horas para cargas de trabajo con renovación automática. Los certificados de CA raíz pueden tener mayor validez con planificación adecuada de rotación.
¿Cómo se integra esta habilidad con herramientas existentes?
Esta habilidad genera manifiestos YAML. Aplícalos con kubectl o integra con herramientas GitOps como ArgoCD o Flux.
¿Están seguros mis datos de certificado?
Esta habilidad no genera, almacena ni transmite ningún dato de certificado. Todos los datos de certificado son manejados por cert-manager o infraestructura de CA de tu cluster.
¿Por qué mis servicios fallan después de habilitar mTLS?
Verificar si los servicios soportan mTLS, confirmar que las DestinationRules están aplicadas y asegurar que los proxies sidecar se hayan recargado. Usar modo PERMISSIVE durante la migración.
¿Cómo es esto diferente de TLS estándar?
mTLS requiere que tanto el cliente como el servidor presenten certificados. Esto proporciona autenticación bidireccional para comunicación de servicio a servicio de confianza cero.

Detalles del desarrollador

Autor

wshobson

Licencia

MIT

Repositorio

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Ref.

main

Estructura de archivos

📄 SKILL.md