Sdílet prostřednictvím

Ověřování klientů pomocí řetězu certifikátů certifikační autority

  • Článek

Pomocí řetězu certifikátů certifikační autority v Azure Event Gridu ověřte klienty při připojování ke službě.

V této příručce provedete následující úlohy:

  1. Nahrajte certifikát certifikační autority, okamžitý nadřazený certifikát klientského certifikátu do oboru názvů.
  2. Nakonfigurujte nastavení ověřování klientů.
  3. Připojení klienta pomocí klientského certifikátu podepsaného dříve nahraným certifikátem certifikační autority.

Požadavky

  • Potřebujete už vytvořený obor názvů Event Gridu.
  • Potřebujete řetěz certifikátů certifikační autority: Klientské certifikáty a nadřazený certifikát (obvykle zprostředkující certifikát), který byl použit k podepsání klientských certifikátů.

Generování ukázkového klientského certifikátu a kryptografického otisku

Pokud ještě certifikát nemáte, můžete vytvořit ukázkový certifikát pomocí rozhraní příkazového řádku kroku. Zvažte ruční instalaci pro Windows.

Po instalaci kroku v prostředí Windows PowerShell spusťte příkaz pro vytvoření kořenového a zprostředkujícího certifikátu.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

Pomocí souborů certifikační autority vygenerovaných k vytvoření certifikátu pro klienta.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

Nahrání certifikátu certifikační autority do oboru názvů

  1. Na webu Azure Portal přejděte do svého oboru názvů Event Gridu.
  2. V části zprostředkovatele MQTT vlevo přejděte do nabídky certifikátů certifikační autority.
  3. Výběrem +Certifikát spusťte stránku Nahrát certifikát.
  4. Přidejte název certifikátu a vyhledejte zprostředkující certifikát (.step/certs/intermediate_ca.crt) a vyberte Nahrát. Můžete nahrát soubor typu .pem, .cer nebo .crt.

Screenshot showing the added CA certificate listed in the CA certificates page.

Poznámka:

  • Název certifikátu certifikační autority může mít délku 3 až 50 znaků.
  • Název certifikátu certifikační autority může obsahovat alfanumerické znaky, spojovník(-) a bez mezer.
  • Název musí být jedinečný pro každý obor názvů.

Konfigurace nastavení ověřování klienta

  1. Přejděte na stránku Klienti.
  2. Vyberte + Klient a přidejte nového klienta. Pokud chcete aktualizovat existujícího klienta, můžete vybrat název klienta a otevřít stránku aktualizovat klienta.
  3. Na stránce Vytvořit klienta přidejte název klienta, název ověřování klienta a schéma ověření certifikátu klienta. Název ověřování klienta je obvykle v poli název subjektu pro klientský certifikát.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. Výběrem tlačítka Vytvořit vytvořte klienta.

Ukázkové schéma objektu certifikátu

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Konfigurace Azure CLI

K nahrání, zobrazení nebo odstranění certifikátu certifikační autority (CA) do služby použijte následující příkazy.

Nahrání kořenového nebo zprostředkujícího certifikátu certifikační autority

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Zobrazení informací o certifikátu

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Odstranění certifikátu

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Další kroky