第三届中国Rust开发者大会 简谈 Rust 与国密 TLS Introduction on Rust and SM TLS Title 王江桐 wangjiangtong@huawei.com 华为 公共开发部 嵌入式软件能力中心 就职于华为，目前正在使用 Rust 开发密码相关模块。 Rustacean 在华为。 Title 简谈 Rust 与国密 TLS Introduction on Rust Rust and Shangmi TLS 王江桐 wangjiangtong@huawei.com 华为 公共开发部 嵌入式软件能力中心 Overview of Shangmi Cryptography #1 国密算法总览 Table of Contents 目录 Use of Rust in Implementing Cryptographic Algorithms and Protocols 境外 不得使用 国密算法与协议介绍 Introduction to Shangmi Algorithms and Protocols Section #2 • 国密套件算法简介 • 国密 TLS 简介 来源：国密算法加密芯片，支持国密全套件等安全算法，http://www.bjlcs- tech.com/article/95.html 国密套件总览 List of Shangmi Cryptography

database Overview This section provides Zabbix setup steps and configuration examples for secure TLS connections between: Database Zabbix components MySQL Zabbix frontend, Zabbix server, Zabbix proxy to use TLS connection to database from Zabbix server/proxy and frontend to database: • required - connect using TLS as transport mode without identity checks; • verify_ca - connect using TLS and verify verify certificate; 17 • verify_full - connect using TLS, verify certificate and verify that database identity (CN) specified by DBHost matches its certificate; Zabbix configuration Frontend to the database

-newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create secret tls k8s-dashboard-tls --cert=tls.crt --key=tls.key Step6: 重新配置 service -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=k8s-dashboard.xxx.com" //生成 SSL 证书的 secret kubectl create secret tls k8s-dashboard-tls --cert=tls.crt --key=tls.key Step8: ingressroute ingressroute vi dashboard-tls.yaml apiVersion: traefik.containo.us/v1alpha1 kind: IngressRoute metadata: name: kubernetes-dashboard-tls spec: entryPoints: - websecure routes: -

TLSAccept 是, 如果 TLS certificate 或 PSK 参 数都进行了定义 (即使 是未加密的连接), 否则 为否 Zabbix server 能 接受哪些 接方 。 参数仅用于被动 proxy。 可以指定多个值，以逗 号分隔： 未加密接受无加密的连 接（默认） // psk // - 接受与 TLS 的连接和预共享密钥 （PSK） // cert // - 接受与 TLS 和证书的连接 和证书的连接 从 Zabbix 3.0.0 开始 支持该参数。 64 TLSAccept yes, if TLS certificate or PSK parameters are defined (even for unencrypted connection), otherwise no What incoming connections to accept from Zabbix server connections without encryption (default) psk - accept connections with TLS and a pre-shared key (PSK) cert - accept connections with TLS and a certificate This parameter is supported since Zabbix 3.0

2. INGRESS 配置资产 6.3. INGRESS 控制器配置参数 6.3.1. Ingress Controller TLS 安全配置集 6.3.1.1. 了解 TLS 安全配置集 6.3.1.2. 为 Ingress Controller 配置 TLS 安全配置集 6.3.2. Ingress 控制器端点发布策略 6.4. 查看默认的 INGRESS CONTROLLER 6.5 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform 4.6 网 网络 络 10 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 第 第 1 章 章 了解网 了解网络 络 11 第 2 章 访问主机

TLSAccept yes, if TLS certificate or PSK parameters are defined (even for unencrypted connection), otherwise no 接受什么类型的连接，用于被 动检查。可以指定多个值，用 逗号隔开即可: unencrypted - 接受未加密的连 接 (默认) psk - 接受 TLS 和预共享密钥 (PSK) (PSK) 的连接 cert - 接受 TLS 和证书的连接 Zabbix 3.0.0 后支持该参数。 TLSCAFile no 包含用于对等证书验证的顶级 CA 证书的文件的完整路径名， 用于加密 Zabbix 各组件间的通 信。 Zabbix 3.0.0 后支持该参数。 TLSCertFile no 包含证书（证书链）的文件的完 整路径名，用于加密 Zabbix 各 组件间的通信。 Zabbix TLSConnect yes, if TLS certificate or PSK parameters are defined (even for unencrypted connection), otherwise no proxy 连接 server 的方式，用 于主动检查。只能指定一个值: unencrypted - 连接不加密 (默 认) psk - 连接加密方式为 TLS 和预 共享密钥 (PSK)

agent” 同时代表 Zabbix agent 和 Zabbix agent 2。Zabbix agent 2 仅在其功能不同的地方特别命名。 encryption（加密） - 使用传输层安全 (TLS) 协议 支持 Zabbix 组件（server，proxy，agent，zabbix_sender 和 zabbix_get 实用程序）之间的加密通信。 agent autoregistration（agent --version 显示版本号 --tls-connect 如何连接 agent。取值: unencrypted - 未加密连接 (默认) psk - 使用 TLS 和 pre-shared 密钥连接 cert - 使用 TLS 和 证书连接 --tls-ca-file 包含对等证书验证所需顶级 CA 证书的完整路径名。 --tls-crl-file 包含已撤销证书的文件的完整路径名。 --tls-agent-cert-issuer 允许 agent 验证的证书颁发者。 --tls-agent-cert-subject 允许 agent 验证的证书主题。 --tls-cert-file 包含证书或证书链的文件的完整路径名。 --tls-key-file

TLSAccept 是, 如果 TLS certificate 或 PSK 参 数都进行了定义 (即使 是未加密的连接), 否则 为否 Zabbix server 能 接受哪些 接方 。 参数仅用于被动 proxy。 可以指定多个值，以逗 号分隔： 未加密接受无加密的连 接（默认） // psk // - 接受与 TLS 的连接和预共享密钥 （PSK） // cert // - 接受与 TLS 和证书的连接 和证书的连接 从 Zabbix 3.0.0 开始 支持该参数。 61 TLSAccept yes, if TLS certificate or PSK parameters are defined (even for unencrypted connection), otherwise no What incoming connections to accept from Zabbix server connections without encryption (default) psk - accept connections with TLS and a pre-shared key (PSK) cert - accept connections with TLS and a certificate This parameter is supported since Zabbix 3.0

TLSAccept 是, 如果 TLS certificate 或 PSK 参 数都进行了定义 (即使 是未加密的连接), 否则 为否 Zabbix server 能 接受哪些 接方 。 参数仅用于被动 proxy。 可以指定多个值，以逗 号分隔： 未加密接受无加密的连 接（默认） // psk // - 接受与 TLS 的连接和预共享密钥 （PSK） // cert // - 接受与 TLS 和证书的连接 和证书的连接 从 Zabbix 3.0.0 开始 支持该参数。 61 TLSAccept yes, if TLS certificate or PSK parameters are defined (even for unencrypted connection), otherwise no What incoming connections to accept from Zabbix server connections without encryption (default) psk - accept connections with TLS and a pre-shared key (PSK) cert - accept connections with TLS and a certificate This parameter is supported since Zabbix 3.0

Observe 菜单的 web 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.2.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 务。对于没有在最后 15 分钟内发送 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.3.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 第 第 1 章 章 分布式追踪