OpenShift Istio中的mTLS（客户端证书）

我们需要通过相互TLS在ec2服务器和客户服务器之间进行通信。请求从我们的服务器发送到我们的客户服务器-因此我们是这里的客户机。 我读了这篇文章，谈论如何生成文件。 第一步是创建客户端和服务器都信任的证书颁发机构（CA）。CA只是一个公钥和私钥，公钥封装在一个自签名的X.509证书中。 我们的证书和他们的证书-应该从同一根CA签名？谁应该提供？ 我这边的代码应该是这样的： 那么我们应该互相提供什么

每次我搜索AWS API网关的通过SSL的相互身份验证时，我只能找到AWS API网关和后端服务之间的MTL。但我希望用MTLS（客户端身份验证）来保护我的AWS API网关endpoint本身。 例如，我有一个通过AWS API网关代理的备份服务QueryCustomer。现在我可以在API网关上设置SSL证书，但它通常是单向SSL。我想要实现的是一个带有客户端身份验证的MTLS，其中来自AWS

出身背景 我需要连接到不同客户端的服务器。 每个客户端连接应该使用唯一的TLS证书。 服务器上的MTLS已就位。 我想使用连池来提高延迟。 使用以下超文本传输协议客户端 我的假设当管理连接池中的连接时，当选择连接时，在选择连接池中的相同连接之前应该考虑客户端证书。我不希望连接为clientA使用clientB TLS证书，反之亦然。 问题是这个假设是真的吗？ 情景1） 我将每条路线的最大连接数设置

因此，为了实现这个逻辑，我认为我需要在客户端验证JWT令牌。Q1，这是一个明智的做法吗。 Q2，我正在使用的库似乎需要一个公钥才能使用它的函数。我似乎没有公钥，只有一个秘密，这是我刚刚编造的，所以它不是用一对生成的。我的公钥从何而来，或者是否有另一种方法来验证我的令牌而不使用此方法？ 这一切似乎应该是显而易见的，我错过了一些东西，所以很抱歉，如果这是一个愚蠢的问题，但我似乎找不到答案？

应如何管理它们？ 一些更具体的问题： 根据定义，本机应用程序（实际上是公共客户端）不能安全地存储其凭据(client_id+secret)。是未注册的客户吗？如果我不能使用秘密来验证/验证它，我还应该做什么？ 客户端注册≠endpoint注册：第一个是关于注册客户端凭据()；第二个关于注册客户端重定向endpoint。重定向endpoint注册是否足以授予客户端的真实性？ 客户端凭据授予是否使用相

问题内容： 我还很陌生，对于使用证书进行身份验证时客户端应该显示的内容有些困惑。 我正在编写一个Java客户端，该客户端需要对POST特定对象进行简单的数据处理URL。那部分工作正常，唯一的问题是应该完成。该部分相当容易处理（无论是使用Java的内置HTTPS支持还是使用Java的内置支持），但是我一直坚持使用客户端证书进行身份验证。我注意到这里已经存在一个非常类似的问题，我还没有尝试使用我的代码