x509 标签归档

共 3 篇文章 · 返回首页

【身份与访问控制工程】服务身份：mTLS、SPIFFE/SPIRE 与 Workload Identity

2026-06-17 | architecture · security | #mtls #spiffe #spire #workload-identity #x509 #svid #oauth2 #jwt-profile #service-mesh #zero-trust

前 9 篇讨论的都是'人'的身份——用户怎么登录、怎么验证。但微服务世界中，80% 的 API 调用是服务之间的。服务身份（Workload Identity）是整个 IAM 体系的另一半：mTLS 解决'传输层你是谁'，SPIFFE/SPIRE 解决'在平台层你是谁且怎么证明'，JWT Profile for OAuth 解决'我怎么拿到一个服务身份的 Token'。本文从这三条线拆解服务身份的工程实现。

【零信任安全架构】零信任的新兴前沿：AI Agent 身份、边缘计算和量子后的证书

2026-06-12 | architecture · security | #ai-agent #llm #edge-computing #pqc #post-quantum-cryptography #ml-dsa #slh-dsa #x509 #mtls

零信任的现状主要服务于'人访问应用'和'服务调用服务'两种模式。但三个新兴场景正在挑战零信任的基本假设：AI Agent 的自主操作、边缘计算的间歇性连接、以及 PQC 对 X.509 证书和 mTLS 握手的冲击。本文展示工程挑战和当前最优实践，不假装有成熟的标准答案。

【网络工程】证书工程：PKI 体系、ACME 与自动化管理

2025-08-04 | network | #tls #certificate #pki #acme #letsencrypt #cert-manager #x509

证书过期宕机是最常见也最可避免的生产事故。本文从工程角度剖析 X.509 证书结构、PKI 信任链的工作原理、ACME 协议与 Let's Encrypt 的自动化部署、私有 CA 的搭建实践，以及 cert-manager 在 Kubernetes 中的证书管理方案。覆盖证书监控、轮换策略与过期告警的完整工程体系。