委托 PKI 认证 API
编辑委托 PKI 认证 API
编辑实现将 X509Certificate 链交换为 Elasticsearch 访问令牌。
请求
编辑POST /_security/delegate_pki
描述
编辑此 API 实现将 X509Certificate 链交换为 Elasticsearch 访问令牌。根据 RFC 5280,通过依次考虑每个已安装的 PKI 域的信任配置(其中 delegation.enabled
设置为 true
(默认为 false
))来验证证书链。成功信任的客户端证书还需根据相应域的 username_pattern
验证主体专有名称。
此 API 由 智能 和 可信任 的代理(例如 Kibana)调用,这些代理终止用户的 TLS 会话,但仍希望通过使用 PKI 域对用户进行身份验证,就像用户直接连接到 Elasticsearch 一样。有关更多详细信息,请参阅 连接到 Kibana 的客户端的 PKI 身份验证。
目标证书中的主体公钥与相应私钥之间的关联未进行验证。 这是 TLS 身份验证过程的一部分,它委托给调用此 API 的代理。 代理被认为是可信任的,它已执行 TLS 身份验证,并且此 API 将该身份验证转换为 Elasticsearch 访问令牌。
请求体
编辑-
x509_certificate_chain
-
(必需,字符串列表) X509Certificate 链,表示为有序字符串数组。数组中的每个字符串都是证书 DER 编码的 base64 编码(RFC4648 的第 4 节 - 非 base64url 编码)。
第一个元素是目标证书,其中包含请求访问的主体专有名称。 后面可以跟额外的证书;每个后续证书都用于证明前一个证书。
响应体
编辑-
access_token
- (字符串)与客户端证书的主体专有名称关联的访问令牌。
-
expires_in
- (时间单位)令牌过期的剩余时间(以秒为单位)。
-
type
- (字符串)令牌类型。
示例
编辑以下是一个示例请求
POST /_security/delegate_pki { "x509_certificate_chain": ["MIIDeDCCAmCgAwIBAgIUBzj/nGGKxP2iXawsSquHmQjCJmMwDQYJKoZIhvcNAQELBQAwUzErMCkGA1UEAxMiRWxhc3RpY3NlYXJjaCBUZXN0IEludGVybWVkaWF0ZSBDQTEWMBQGA1UECxMNRWxhc3RpY3NlYXJjaDEMMAoGA1UEChMDb3JnMB4XDTIzMDcxODE5MjkwNloXDTQzMDcxMzE5MjkwNlowSjEiMCAGA1UEAxMZRWxhc3RpY3NlYXJjaCBUZXN0IENsaWVudDEWMBQGA1UECxMNRWxhc3RpY3NlYXJjaDEMMAoGA1UEChMDb3JnMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAllHL4pQkkfwAm/oLkxYYO+r950DEy1bjH+4viCHzNADLCTWO+lOZJVlNx7QEzJE3QGMdif9CCBBxQFMapA7oUFCLq84fPSQQu5AnvvbltVD9nwVtCs+9ZGDjMKsz98RhSLMFIkxdxi6HkQ3Lfa4ZSI4lvba4oo+T/GveazBDS+NgmKyq00EOXt3tWi1G9vEVItommzXWfv0agJWzVnLMldwkPqsw0W7zrpyT7FZS4iLbQADGceOW8fiauOGMkscu9zAnDR/SbWl/chYioQOdw6ndFLn1YIFPd37xL0WsdsldTpn0vH3YfzgLMffT/3P6YlwBegWzsx6FnM/93Ecb4wIDAQABo00wSzAJBgNVHRMEAjAAMB0GA1UdDgQWBBQKNRwjW+Ad/FN1Rpoqme/5+jrFWzAfBgNVHSMEGDAWgBRcya0c0x/PaI7MbmJVIylWgLqXNjANBgkqhkiG9w0BAQsFAAOCAQEACZ3PF7Uqu47lplXHP6YlzYL2jL0D28hpj5lGtdha4Muw1m/BjDb0Pu8l0NQ1z3AP6AVcvjNDkQq6Y5jeSz0bwQlealQpYfo7EMXjOidrft1GbqOMFmTBLpLA9SvwYGobSTXWTkJzonqVaTcf80HpMgM2uEhodwTcvz6v1WEfeT/HMjmdIsq4ImrOL9RNrcZG6nWfw0HR3JNOgrbfyEztEI471jHznZ336OEcyX7gQuvHE8tOv5+oD1d7s3Xg1yuFp+Ynh+FfOi3hPCuaHA+7F6fLmzMDLVUBAllugst1C3U+L/paD7tqIa4ka+KNPCbSfwazmJrt4XNiivPR4hwH5g=="] }
这将返回以下响应
{ "access_token" : "dGhpcyBpcyBub3QgYSByZWFsIHRva2VuIGJ1dCBpdCBpcyBvbmx5IHRlc3QgZGF0YS4gZG8gbm90IHRyeSB0byByZWFkIHRva2VuIQ==", "type" : "Bearer", "expires_in" : 1200, "authentication" : { "username" : "Elasticsearch Test Client", "roles" : [ ], "full_name" : null, "email" : null, "metadata" : { "pki_dn" : "O=org, OU=Elasticsearch, CN=Elasticsearch Test Client", "pki_delegated_by_user" : "test_admin", "pki_delegated_by_realm" : "file" }, "enabled" : true, "authentication_realm" : { "name" : "pki1", "type" : "pki" }, "lookup_realm" : { "name" : "pki1", "type" : "pki" }, "authentication_type" : "realm" } }