Как дела? Мы используем Mulesoft Mule 4, развернутый на кластере RTF Fabric (2 экземпляра RTF). Мы хотели бы настроить напоминания, чтобы администраторы не могли до истечения срока действия сертификатов, используемых для установления исходящих TLS-соединений и взаимной аутентификации.
Самый простой способ настроить TLS-соединения с Mule 4 - использовать файлы с хранилищем ключей / хранилищем доверенных сертификатов в свойствах конфигурации соответствующего коннектора.
Как описано в https://dzone.com/articles/mule-4-using-ssltls-part-2 вы должны сгенерировать файлы и упаковать их с результатами, которые войдут в Docker, как контейнер, работающий в Mule RTF, поэтому будет сложно попасть внутрь его файловой системы и проверить эти файлы в производстве с использованием некоторой рутинной запланированной задачи.
В то же время в Anypoint GUI есть меню менеджера секретов, похожее на волшебное. Этот менеджер секретов выглядит так, как будто может хранить эти сертификаты, и даже предоставляет API, чтобы иметь возможность проверять дату истечения срока действия и управлять CRL (списком отзыва сертификатов). Несмотря на это, дата - это только метаданные, которые никоим образом не применяются и не контролируются и могут быть изменены с нарушением соответствия с датой истечения срока действия реального сертификата ... Я хотел бы выяснить, можно ли каким-либо образом использовать эту инфраструктуру хранить артефакты TLS для исходящих внутренних вызовов для трафика Север-Юг?
Должны ли мы в незашифрованном виде вызывать контроллеры RTF LB, а затем некоторые прокси-серверы Mule, которые используют этот менеджер секретов, чтобы впоследствии защитить соединения? Может быть, есть более простой подход, чтобы иметь возможность управлять состоянием артефактов TLS и заранее настроить какое-то предупреждение об истечении срока действия?