第 13 章为 mTLS 配置可信证书

为了正确验证客户端证书并启用某些身份验证方法，如双向 TLS 或 mTLS，您可以使用服务器应信任的所有证书（和证书链）设置信任存储。有很多功能依赖此信任存储来使用 Mutual TLS 和 X.509 身份验证等证书正确验证客户端。

13.1. 启用 mTLS

默认禁用使用 mTLS 进行身份验证。当红帽构建的 Keycloak 是服务器时，要启用 mTLS 证书处理，需要验证来自红帽构建的 Keycloak 端点的请求的证书，请将适当的证书放在信任存储中，并使用以下命令启用 mTLS：

bin/kc.[sh|bat] start --https-client-auth=<none|request|required>

使用 所需的值 设置红帽构建的 Keycloak 始终要求证书，并在请求中没有提供证书时失败。通过将值设置为 请求，红帽构建的 Keycloak 也接受没有证书的请求，并只验证证书的正确性（如果存在）。

警告

mTLS 配置和信任存储由所有 Realms 共享。无法为不同的 Realms 配置不同的信任存储。

注意

管理接口属性继承自主 HTTP 服务器，包括 mTLS 设置。这意味着，当设置 mTLS 时，也会为管理界面启用它。要覆盖行为，请使用 https-management-client-auth 属性。