Compétences mtls-configuration
🔐

mtls-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes

Configurer mTLS pour le réseau zero-trust

Sécurisez la communication service-à-service avec l'authentification TLS mutuelle. Cette compétence fournit des modèles prêts à l'emploi pour Istio, Linkerd, SPIFFE et cert-manager afin de mettre en œuvre la sécurité zero-trust dans les environnements Kubernetes.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "mtls-configuration". Activer le mTLS strict pour mon maillage Istio dans l'espace de production

Résultat attendu:

  • Créé une ressource PeerAuthentication dans l'espace de noms istio-system avec le mode STRICT
  • Appliqué le mTLS à l'échelle du maillage exigeant l'authentification mutuelle pour tous les services
  • Ajouté une DestinationRule utilisant le mode ISTIO_MUTUAL pour la gestion automatique des certificats
  • Note : Les connexions existantes seront rejetées jusqu'à ce que les clients mettent à jour leurs configurations
  • Utilisez 'istioctl authn tls-check' pour vérifier le statut mTLS après le déploiement

Utilisation de "mtls-configuration". Configurer cert-manager pour les certificats de charge de travail automatiques avec rotation de 24 heures

Résultat attendu:

  • Créé un ClusterIssuer nommé 'istio-ca' pour la signature de certificats
  • Généré une ressource Certificate avec une durée de 24 heures et un renewBefore de 8 heures
  • Spécifié commonName et dnsNames pour l'identité de service
  • Configuré les usages de certificats server auth et client auth
  • Le secret 'my-service-tls' sera créé automatiquement lorsque le Certificate sera émis

Utilisation de "mtls-configuration". Configurer SPIRE pour l'identité de charge de travail dans mon cluster Kubernetes

Résultat attendu:

  • Créé un ConfigMap pour le SPIRE Server avec un datastore sqlite3
  • Configured l'attestateur de noeud k8s_psat avec la liste d'autorisation du compte de service demo-cluster
  • Configuré le plugin UpstreamAuthority avec des identifiants bootstrap basés sur le disque
  • Généré un DaemonSet pour l'agent SPIRE avec un montage de volume de socket
  • Le domaine de confiance configuré est 'example.org'

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
Fichiers analysés
527
Lignes analysées
2
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ Commandes externes (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
29
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Déployer la sécurité du maillage de services

Configurer les politiques mTLS à l'échelle du maillage et la gestion des certificats pour les clusters Kubernetes multi-locataires

Déboguer les échecs mTLS

Diagnostiquer et résoudre les échecs de liaison TLS entre les services avec les commandes istioctl et kubectl

Implémenter une architecture zero-trust

Concevoir et documenter les hiérarchies de certificats et les exigences mTLS pour la conformité PCI-DSS ou HIPAA

Essayez ces prompts

Activer le mTLS strict 
Activer le mTLS strict à travers mon maillage Istio dans l'espace de production. Créer des ressources PeerAuthentication et DestinationRule pour l'application au niveau de l'espace de noms.
Intégration cert-manager 
Configurer cert-manager pour émettre des certificats de charge de travail pour mes services Istio avec une durée de 24 heures et renouvellement automatique avant expiration.
Identité de charge de travail SPIFFE 
Créer les configurations Server et Agent SPIRE pour l'identité de charge de travail dans un environnement Kubernetes multi-cluster avec le domaine de confiance example.org.
Déboguer la liaison TLS 
Mes services Istio ne peuvent pas communiquer. Utiliser les commandes istioctl pour vérifier le statut d'authentification par les pairs, les règles de destination et déboguer les erreurs de liaison TLS.

Bonnes pratiques

  • Commencez par le mode PERMISSIVE pendant la migration, puis passez à STRICT après avoir validé tous les services
  • Utilisez des certificats à courte durée de vie (24 heures ou moins) avec rotation automatique pour les identités de charge de travail
  • Surveillez l'expiration des certificats et configurez des alertes pour éviter les interruptions de service

Éviter

  • Désactiver le mTLS pour des raisons de commodité dans les environnements de production
  • Utiliser des certificats auto-signés sans hiérarchie CA appropriée
  • Ignorer les dates d'expiration des certificats ou négliger la planification de la rotation

Foire aux questions

Quelles plateformes de maillage de services sont prises en charge ?
Istio, Linkerd et SPIFFE/SPIRE sont entièrement couverts. Les modèles incluent PeerAuthentication, DestinationRule, Server et les configurations SPIRE.
Quelles périodes de validité de certificat sont recommandées ?
Utilisez des certificats de 24 heures pour les charges de travail avec renouvellement automatique. Les certificats CA racine peuvent avoir une validité plus longue avec une planification de rotation appropriée.
Comment cette compétence s'intègre-t-elle avec les outils existants ?
Cette compétence génère des manifestes YAML. Appliquez-les avec kubectl ou intégrez-les avec des outils GitOps comme ArgoCD ou Flux.
Mes données de certificat sont-elles sûres ?
Cette compétence ne génère, ne stocke ni ne transmet aucun certificat. Toutes les données de certificat sont gérées par cert-manager ou l'infrastructure CA de votre cluster.
Pourquoi mes services échouent après l'activation de mTLS ?
Vérifiez si les services supportent mTLS, confirmez que les DestinationRules sont appliquées et assurez-vous que les proxies sidecar ont été rechargés. Utilisez le mode PERMISSIVE pendant la migration.
En quoi est-ce différent du TLS standard ?
mTLS exige que le client et le serveur présentent tous deux des certificats. Cela fournit une authentification bidirectionnelle pour la communication service-à-service zero-trust.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Réf

main

Structure de fichiers

📄 SKILL.md