委托 PKI 认证 API

编辑

实现将 X509Certificate 链交换为 Elasticsearch 访问令牌。

请求

编辑

POST /_security/delegate_pki

先决条件

编辑
  • 要调用此 API,(代理)用户必须具有 delegate_pkiall 集群权限。 kibana_system 内置角色已授予此权限。 请参阅 安全权限

描述

编辑

此 API 实现将 X509Certificate 链交换为 Elasticsearch 访问令牌。根据 RFC 5280,通过依次考虑每个已安装的 PKI 域的信任配置(其中 delegation.enabled 设置为 true(默认为 false))来验证证书链。成功信任的客户端证书还需根据相应域的 username_pattern 验证主体专有名称。

此 API 由 智能可信任 的代理(例如 Kibana)调用,这些代理终止用户的 TLS 会话,但仍希望通过使用 PKI 域对用户进行身份验证,就像用户直接连接到 Elasticsearch 一样。有关更多详细信息,请参阅 连接到 Kibana 的客户端的 PKI 身份验证

目标证书中的主体公钥与相应私钥之间的关联进行验证。 这是 TLS 身份验证过程的一部分,它委托给调用此 API 的代理。 代理被认为是可信任的,它已执行 TLS 身份验证,并且此 API 将该身份验证转换为 Elasticsearch 访问令牌。

请求体

编辑
x509_certificate_chain

(必需,字符串列表) X509Certificate 链,表示为有序字符串数组。数组中的每个字符串都是证书 DER 编码的 base64 编码(RFC4648 的第 4 节 - 非 base64url 编码)。

第一个元素是目标证书,其中包含请求访问的主体专有名称。 后面可以跟额外的证书;每个后续证书都用于证明前一个证书。

响应体

编辑
access_token
(字符串)与客户端证书的主体专有名称关联的访问令牌。
expires_in
(时间单位)令牌过期的剩余时间(以秒为单位)。
type
(字符串)令牌类型。

示例

编辑

以下是一个示例请求

POST /_security/delegate_pki
{
  "x509_certificate_chain": ["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"] 
}

一个元素的证书链。

这将返回以下响应

{
  "access_token" : "dGhpcyBpcyBub3QgYSByZWFsIHRva2VuIGJ1dCBpdCBpcyBvbmx5IHRlc3QgZGF0YS4gZG8gbm90IHRyeSB0byByZWFkIHRva2VuIQ==",
  "type" : "Bearer",
  "expires_in" : 1200,
  "authentication" : {
    "username" : "Elasticsearch Test Client",
    "roles" : [ ],
    "full_name" : null,
    "email" : null,
    "metadata" : {
      "pki_dn" : "O=org, OU=Elasticsearch, CN=Elasticsearch Test Client",
      "pki_delegated_by_user" : "test_admin",
      "pki_delegated_by_realm" : "file"
    },
    "enabled" : true,
    "authentication_realm" : {
      "name" : "pki1",
      "type" : "pki"
    },
    "lookup_realm" : {
      "name" : "pki1",
      "type" : "pki"
    },
    "authentication_type" : "realm"
  }
}