在传统的TLS握手中，客户机对服务器进行身份验证，而服务器对客户机不太了解。但是，从现在开始，Cloudflare将为企业客户TLS提供客户端身份验证，这意味着服务器会额外验证连接到它的客户端是否有权连接。TLS客户端身份验证在服务器跟踪数十万或数百万客户端的情况下非常有用，例如在物联网中，或者在具有数百万安装程序的移动应用程序中，这些客户端正在交换安全信息。例如，物联网公司可以为每个设备颁发一个唯一的客户端证书，然后通过阻止客户端不提供由公司证书颁发机构签署的证书的连接，将其物联网基础设施的连接限制为仅限于其设备。或者，在移动银行应用程序的情况下，银行希望确保客户的安全财务数据不会被机器人程序欺骗其移动应用程序窃取，他们可以为每个应用程序安装颁发一个唯一的证书，并在TLS握手中验证来自其移动应用程序的请求。客户机身份验证对于vpn、企业网络或临时站点也很有用，在这些站点中，公司和开发人员只需要锁定与员工和同事拥有的笔记本电脑和电话的连接。你可能会想-难道我们没有API密钥吗？但是客户端证书提供了API密钥无法提供的安全层。如果一个API密钥在中间连接中受到破坏，它可以被重用以向后端基础结构发出自己有效的、可信的请求。但是，客户机证书的私钥用于在每个TLS连接中创建数字签名，因此即使在连接过程中嗅探到证书，也不能用它实例化新的请求。与TLS客户端身份验证握手在与TLS客户机身份验证的握手中，服务器期望客户机提供证书，并使用服务器hello向客户机发送客户机证书请求。然后在下一次到服务器的密钥交换中，客户机还发送其客户机证书。然后使用客户端证书对TLS握手进行签名，并将数字签名发送到服务器进行验证。你可以在这里看到整个握手过程：边缘上的TLS客户端身份验证TLS客户机身份验证可能需要占用大量的CPU资源—这是对每个请求执行的附加加密操作。如果出现大量无效流量，那么流量洪流中的每个请求都会启动一个验证步骤。公司可以将TLS客户端身份验证转移到Cloudflare的边缘，以减轻昂贵的验证。如果我们为一家公司执行TLS客户机身份验证，该公司会向我们发送根证书，我们应该根据根证书来验证客户机证书。然后，公司可以将TLS客户端身份验证设置为两种模式之一：强制模式在客户端证书无效时返回403和可选的自定义JSON或HTML，报告模式将所有请求转发到源站，即使证书无效。Cloudflare将向源服务器发送一个包含证书状态（none、valid、invalid）和证书使用者密钥标识符（SKI）的头。对于使用客户端证书进行标识的公司，Cloudflare还可以将客户端证书的任何字段作为自定义头转发。开始吧要使用TLS客户端身份验证，必须首先设置PKI（公钥基础结构）基础结构以颁发客户端证书。如果您对运行TLS客户端身份验证感兴趣，但没有设置用于颁发客户端证书的PKI基础设施，我们已将我们的PKI开源供您使用。下面是我们在CoreOS的朋友提供的关于如何使用cfssl颁发客户端证书的优秀文档。如果您不想运行自己的CA而依赖于已建立的证书颁发机构，我们已经与一些证书颁发机构合作，他们可以为您提供客户端证书。如果您是企业客户，并且希望开始使用Cloudflare的TLS客户端身份验证，请联系您的客户团队，我们将帮助您进行设置。如果您还不是企业客户，但有兴趣尝试TLS客户端身份验证，请联系。明年，我们将为所有Cloudflare计划添加TLS客户端身份验证支持。毕竟，使用加密技术使网络更加可信是我们要做的。敬请期待。更新-1/22/19：此功能已更改，正在并入Cloudflare Access。测试版目前正在进行中。为任何混淆道歉。