Compétences mtls-configuration
🔐

mtls-configuration

Sûr 🌐 Accès réseau⚙️ Commandes externes

제로 트러스트 네트워크를 위한 mTLS 구성

Également disponible depuis: sickn33

상호 TLS 인증으로 서비스 간 통신을 보호합니다. 이 스킬은 Kubernetes 환경에서 제로 트러스트 보안을 구현하기 위해 Istio, Linkerd, SPIFFE, cert-manager에 즉시 사용 가능한 템플릿을 제공합니다.

Prend en charge: Claude Codex Code(CC)
📊 70 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "mtls-configuration". Enable strict mTLS for my Istio mesh in the production namespace

Résultat attendu:

  • Created PeerAuthentication resource in istio-system namespace with STRICT mode
  • Applied mesh-wide mTLS requiring mutual authentication for all services
  • Added DestinationRule using ISTIO_MUTUAL mode for automatic certificate management
  • Note: Existing connections will be rejected until clients update their configurations
  • Use 'istioctl authn tls-check' to verify mTLS status after deployment

Utilisation de "mtls-configuration". Configure cert-manager for automatic workload certificates with 24-hour rotation

Résultat attendu:

  • Created ClusterIssuer named 'istio-ca' for certificate signing
  • Generated Certificate resource with 24-hour duration and 8-hour renewBefore
  • Specified commonName and dnsNames for service identity
  • Configured server auth and client auth certificate usages
  • Secret 'my-service-tls' will be created automatically when Certificate is issued

Utilisation de "mtls-configuration". Set up SPIRE for workload identity in my Kubernetes cluster

Résultat attendu:

  • Created ConfigMap for SPIRE Server with sqlite3 datastore
  • Configured k8s_psat node attestor with demo-cluster service account allow list
  • Set UpstreamAuthority plugin with disk-based bootstrap credentials
  • Generated DaemonSet for SPIRE Agent with socket volume mount
  • Trust domain configured as 'example.org'

Audit de sécurité

Sûr
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
Fichiers analysés
527
Lignes analysées
2
résultats
4
Total des audits

Facteurs de risque

🌐 Accès réseau (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ Commandes externes (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
21
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

서비스 메시 보안 배포

멀티 테넌트 Kubernetes 클러스터를 위한 메시 전체 mTLS 정책 및 인증서 관리 구성

mTLS 실패 디버깅

istioctl 및 kubectl 명령어를 사용하여 서비스 간 TLS 핸드셰이크 실패 진단 및 해결

제로 트러스트 아키텍처 구현

PCI-DSS 또는 HIPAA 준수를 위한 인증서 계층 구조 및 mTLS 요구 사항 설계 및 문서화

Essayez ces prompts

엄격한 mTLS 활성화 
프로덕션 네임스페이스의 Istio 메시 전체에 엄격한 mTLS를 활성화합니다. 네임스페이스 수준 적용을 위한 PeerAuthentication 및 DestinationRule 리소스를 생성합니다.
cert-manager 통합 
24시간 유효 기간 및 만료 전 자동 갱신으로 Istio 서비스에 워크로드 인증서를 발급하도록 cert-manager를 구성합니다.
SPIFFE 워크로드 아이디 
example.org 신뢰 도메인이 포함된 멀티 클러스터 Kubernetes 환경에서 워크로드 아이디를 위한 SPIRE 서버 및 에이전트 구성을 생성합니다.
TLS 핸드셰이크 디버깅 
Istio 서비스가 통신할 수 없습니다. istioctl 명령어를 사용하여 피어 인증 상태, 대상 규칙 및 TLS 핸드셰이크 오류를 확인합니다.

Bonnes pratiques

  • 마이그레이션 중 PERMISSIVE 모드로 시작하고, 모든 서비스 유효성 검사 후 STRICT로 전환
  • 워크로드 아이디에는 자동 순환이 포함된 단기 인증서(24시간 이하) 사용
  • 인증서 만료 모니터링 및 서비스 중단 방지를 위한 경고 설정

Éviter

  • 편의를 위해 프로덕션 환경에서 mTLS 비활성화
  • 적절한 CA 계층 없이 자체 서명 인증서 사용
  • 인증서 만료 날짜 무시하거나 순환 계획 건너뛰기

Foire aux questions

어떤 서비스 메시 플랫폼이 지원되나요?
Istio, Linkerd 및 SPIFFE/SPIRE가 완전히 지원됩니다. 템플릿에는 PeerAuthentication, DestinationRule, Server 및 SPIRE 구성이 포함됩니다.
어떤 인증서 유효 기간이 권장되나요?
워크로드에는 자동 갱신이 포함된 24시간 인증서를 사용하세요. 루트 CA 인증서는 적절한 순환 계획으로 더 긴 유효 기간을 가질 수 있습니다.
이 스킬은 기존 도구와 어떻게 통합되나요?
이 스킬은 YAML 매니페스트를 생성합니다. kubectl으로 적용하거나 ArgoCD 또는 Flux와 같은 GitOps 도구와 통합하세요.
내 인증서 데이터가 안전한가요?
이 스킬은 인증서를 생성, 저장 또는 전송하지 않습니다. 모든 인증서 데이터는 클러스터의 cert-manager 또는 CA 인프라에서 처리됩니다.
mTLS를 활성화한 후 서비스가 실패하는 이유는 무엇인가요?
서비스가 mTLS를 지원하는지 확인하고, DestinationRules가 적용되었는지 확인하며, 사이드카 프록시가 다시 로드되었는지 확인하세요. 마이그레이션 중 PERMISSIVE 모드를 사용하세요.
표준 TLS와 어떻게 다른가요?
mTLS는 클라이언트와 서버 모두 인증서를 제시해야 합니다. 이는 제로 트러스트 서비스 간 통신을 위한 양방향 인증을 제공합니다.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Réf

main

Structure de fichiers

📄 SKILL.md