スキル mtls-configuration
🔐

mtls-configuration

安全 🌐 ネットワークアクセス⚙️ 外部コマンド

ゼロトラストネットワーキング用のmTLS設定

相互TLS認証によるサービス間通信の保護。このスキルは、Kubernetes環境でのゼロトラストセキュリティを実装するためのIstio、Linkerd、SPIFFE、cert-managerのすぐに使用できるテンプレートを提供します。

対応: Claude Codex Code(CC)
📊 71 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「mtls-configuration」を使用しています。 Enable strict mTLS for my Istio mesh in the production namespace

期待される結果:

  • Created PeerAuthentication resource in istio-system namespace with STRICT mode
  • Applied mesh-wide mTLS requiring mutual authentication for all services
  • Added DestinationRule using ISTIO_MUTUAL mode for automatic certificate management
  • Note: Existing connections will be rejected until clients update their configurations
  • Use 'istioctl authn tls-check' to verify mTLS status after deployment

「mtls-configuration」を使用しています。 Configure cert-manager for automatic workload certificates with 24-hour rotation

期待される結果:

  • Created ClusterIssuer named 'istio-ca' for certificate signing
  • Generated Certificate resource with 24-hour duration and 8-hour renewBefore
  • Specified commonName and dnsNames for service identity
  • Configured server auth and client auth certificate usages
  • Secret 'my-service-tls' will be created automatically when Certificate is issued

「mtls-configuration」を使用しています。 Set up SPIRE for workload identity in my Kubernetes cluster

期待される結果:

  • Created ConfigMap for SPIRE Server with sqlite3 datastore
  • Configured k8s_psat node attestor with demo-cluster service account allow list
  • Set UpstreamAuthority plugin with disk-based bootstrap credentials
  • Generated DaemonSet for SPIRE Agent with socket volume mount
  • Trust domain configured as 'example.org'

セキュリティ監査

安全
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
スキャンされたファイル
527
解析された行数
2
検出結果
4
総監査数

リスク要因

🌐 ネットワークアクセス (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ 外部コマンド (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
監査者: claude 監査履歴を表示 →

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
29
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

サービスメッシュセキュリティのデプロイ

マルチテナントKubernetesクラスタ用の名前空間レベルのmTLSポリシーと証明書管理を設定

mTLS障害のデバッグ

istioctlおよびkubectlコマンドを使用して、サービス間のTLSハンドシェイク障害を診断および解決

ゼロトラストアーキテクチャの実装

PCI-DSSまたはHIPAAへのコンプライアンスに合わせて、証明書の階層構造とmTLS要件を設計および文書化

これらのプロンプトを試す

厳格なmTLSの有効化 
本番名前空間のIstioメッシュ全体で厳格なmTLSを有効化します。名前空間レベルの適用用にPeerAuthenticationおよびDestinationRuleリソースを作成してください。
cert-managerの統合 
Istioサービスのワークロード証明書を発行するようにcert-managerを設定します。24時間の有効期間と有効期限前の自動更新が必要です。
SPIFFEワークロードアイデンティティ 
example.orgをトラストドメインとして持つマルチクラスタKubernetes環境でのワークロードアイデンティティ用に、SPIRE ServerおよびAgent構成を作成してください。
TLSハンドシェイクのデバッグ 
Istioサービスが通信できません。peer認証ステータス、DestinationRule、TLSハンドシェイクエラーを確認するためにistioctlコマンドを使用してください。

ベストプラクティス

  • 移行中はPERMISSIVEモードから開始し、すべてのサービスを検証した後STRICTに移行してください
  • ワークロードアイデンティティには自動ローテーション付きの短命証明書(24時間以下)を使用してください
  • 証明書の有効期限を監視し、サービス障害を防ぐためにアラートを設定してください

回避

  • 本番環境で便宜上のmTLSの無効化
  • 適切なCA階層なしの自己署名証明書の使用
  • 証明書の有効期限を無視하거나ローテーション計画のスキップ

よくある質問

どのサービスメッシュプラットフォームがサポートされていますか?
Istio、Linkerd、SPIFFE/SPIREは完全にカバーされています。テンプレートにはPeerAuthentication、DestinationRule、Server、SPIRE構成が含まれています。
どのくらいの証明書の有効期間が推奨されますか?
ワークロードには自動更新付きの24時間証明書を推奨します。ルートCA証明書は適切なローテーション計画付きでより長い有効期間を持つことができます。
このスキルは既存のツールとどのように統合されますか?
このスキルはYAMLマニフェストを生成します。kubectlで適用するか、ArgoCDやFluxなどのGitOpsツールと統合してください。
私の証明書データは安全ですか?
このスキルは証明書を生成、保存、送信しません。すべての証明書データはクラスタのcert-managerまたはCAインフラストラクチャによって処理されます。
mTLSを有効にした後,为什么我的服务失败了?
サービスがmTLSをサポートしているか確認し、DestinationRuleが適用されていること、サイドカープロキシがリロードされていることを確認してください。移行中はPERMISSIVEモードを使用してください。
標準のTLSとどう異なりますか?
mTLSはクライアントとサーバーの両方が証明書を提示する必要があります。これにより、ゼロトラストのサービス間通信用の双方向認証が提供されます。

開発者の詳細

作成者

wshobson

ライセンス

MIT

リポジトリ

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

参照

main

ファイル構成

📄 SKILL.md