4.6. 启用 mutual TLS

默认禁用使用 mTLS 进行身份验证。当红帽构建的 Keycloak 是服务器时启用 mTLS 证书处理，需要验证来自红帽构建的 Keycloak 端点请求的证书，请将适当的证书放在红帽构建的 Keycloak 信任存储中，并使用以下命令启用 mTLS：

bin/kc.[sh|bat] start --https-client-auth=<none|request|required>

使用所需 值设置 红帽构建的 Keycloak 以始终询问证书，并在请求中没有提供证书时失败。通过将值设置为 请求，红帽构建的 Keycloak 也会在没有证书的情况下接受请求，且仅在证书存在时验证证书的正确性。

请注意，这是红帽构建的 Keycloak 作为服务器的 mTLS 用例的基本证书配置。当红帽构建的 Keycloak 作为客户端时，例如，当红帽构建的 Keycloak 尝试从代理身份提供程序的令牌端点获取令牌时，您需要设置 HttpClient 来为出站请求在密钥存储中提供正确的证书。要在这些场景中配置 mTLS，请参阅配置传出的 HTTP 请求。