Autenticazione client tramite catena di certificati CA
Usare la catena di certificati CA in Griglia di eventi di Azure per autenticare i client durante la connessione al servizio.
In questa guida vengono eseguite le attività seguenti:
- Caricare un certificato della CA, il certificato padre immediato del certificato client, nello spazio dei nomi .
- Configurare le impostazioni di autenticazione client.
- Connettere un client usando il certificato client firmato dal certificato CA caricato in precedenza.
Prerequisiti
- È necessario uno spazio dei nomi di Griglia di eventi già creato.
- È necessaria una catena di certificati CA: certificati client e certificato padre (in genere un certificato intermedio) usato per firmare i certificati client.
Generare un certificato client di esempio e un'identificazione personale
Se non si ha già un certificato, è possibile creare un certificato di esempio usando l'interfaccia della riga di comando del passaggio. Prendere in considerazione l'installazione manuale per Windows.
- Dopo aver installato Step, in Windows PowerShell eseguire il comando per creare certificati radice e intermedi.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
- Uso dei file ca generati per creare il certificato per il client.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
- Per visualizzare l'identificazione personale, eseguire il comando Step.
step certificate fingerprint client1-authn-ID.pem
Caricare il certificato della CA nello spazio dei nomi
- In portale di Azure passare allo spazio dei nomi di Griglia di eventi.
- Nella sezione broker MQTT nella barra sinistra passare al menu Certificati CA.
- Selezionare + Certificato per avviare la pagina Carica certificato.
- Aggiungere il nome del certificato e cercare il certificato intermedio (.step/certs/intermediate_ca.crt) e selezionare Carica. È possibile caricare un file con estensione pem, .cer o crt.
Nota
- Il nome del certificato CA può essere lungo 3-50 caratteri.
- Il nome del certificato CA può includere caratteri alfanumerici, trattini (-) e non spazi.
- Il nome deve essere univoco per ogni spazio dei nomi.
Configurare le impostazioni di autenticazione client
- Passare alla pagina Client.
- Selezionare + Client per aggiungere un nuovo client. Se si vuole aggiornare un client esistente, è possibile selezionare il nome del client e aprire la pagina Aggiorna client.
- Nella pagina Crea client aggiungere il nome client, il nome dell'autenticazione client e lo schema di convalida dell'autenticazione del certificato client. In genere, il nome dell'autenticazione client si trova nel campo del nome soggetto per il certificato client.
- Selezionare il pulsante Crea per creare il client.
Schema dell'oggetto certificato di esempio
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Configurazione dell'interfaccia della riga di comando di Azure
Usare i comandi seguenti per caricare/visualizzare/eliminare un certificato dell'autorità di certificazione (CA) nel servizio
Caricare il certificato radice o intermedio dell'autorità di certificazione
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Mostra informazioni sul certificato
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Eliminare il certificato
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName