Autenticación de cliente mediante la cadena de certificados de CA
Use la cadena de certificados de CA en Azure Event Grid para autenticar a los clientes al conectarse al servicio.
En esta guía, realizará las tareas siguientes:
- Cargue un certificado de CA, el certificado primario inmediato del certificado de cliente, en el espacio de nombres.
- Configure los valores de autenticación de los clientes.
- Conecte un cliente mediante el certificado de cliente firmado por el certificado de CA que ha cargado anteriormente.
Requisitos previos
- Necesita haber creado ya un espacio de nombres de Event Grid.
- Necesita una cadena de certificados de CA: certificados de cliente y el certificado primario (normalmente un certificado intermedio) que se usó para firmar los certificados de cliente.
Generación de un certificado de cliente de ejemplo y una huella digital
Si aún no tiene un certificado, puede crear un certificado de ejemplo mediante la CLI de Step. Considere la posibilidad de instalar manualmente para Windows.
- Una vez instalado Step, en Windows PowerShell, ejecute el comando para crear certificados raíz e intermedios.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
- Uso de los archivos de CA generados para crear un certificado para el cliente.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
- Para ver la huella digital, ejecute el comando Step.
step certificate fingerprint client1-authn-ID.pem
Carga del certificado de CA en el espacio de nombres
- En Azure Portal, vaya al espacio de nombres de Event Grid.
- En la sección de MQTT broker del raíl izquierdo, vaya al menú de certificados de CA.
- Seleccione + Certificado para iniciar la página Cargar certificado.
- Agregue el nombre del certificado y busque el certificado intermedio (.step/certs/intermediate_ca.crt). Luego, seleccione Cargar. Puedes cargar un archivo .pem, .cer o .crt.
Nota:
- El nombre del certificado de CA puede tener entre 3 y 50 caracteres.
- El nombre del certificado de CA puede incluir caracteres alfanuméricos, guiones (-) y no debe tener espacios.
- El nombre debe ser único en cada espacio de nombres.
Configuración de los valores de autenticación de los clientes
- Vaya a la página Clientes.
- Seleccione + Cliente para agregar un nuevo cliente. Si quiere actualizar un cliente existente, puede seleccionar el nombre del cliente y abrir la página Actualizar cliente.
- En la página Crear cliente, agregue el nombre de cliente, el nombre de autenticación de cliente y el esquema de validación de autenticación de certificados de cliente. Normalmente, el nombre de autenticación del cliente estaría en el campo de nombre del firmante del certificado de cliente.
- Seleccione el botón Crear para crear el cliente.
Esquema de objeto de certificado de ejemplo
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Configuración de la CLI de Azure
Use los siguientes comandos para cargar, mostrar o eliminar un certificado de la entidad de certificación (CA) en el servicio
Carga del certificado raíz o intermedio de la entidad de certificación
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Visualización de información del certificado
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Eliminar un certificado
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName