Delen via

Clientverificatie met ca-certificaatketen

  • Artikel

Gebruik CA-certificaatketen in Azure Event Grid om clients te verifiëren tijdens het maken van verbinding met de service.

In deze handleiding voert u de volgende taken uit:

  1. Upload een CA-certificaat, het directe bovenliggende certificaat van het clientcertificaat, naar de naamruimte.
  2. Configureer clientverificatie-instellingen.
  3. Verbinding maken een client met behulp van het clientcertificaat dat is ondertekend door het eerder geüploade CA-certificaat.

Vereisten

  • U hebt een Event Grid-naamruimte nodig die al is gemaakt.
  • U hebt een CA-certificaatketen nodig: clientcertificaten en het bovenliggende certificaat (meestal een tussenliggend certificaat) dat is gebruikt om de clientcertificaten te ondertekenen.

Voorbeeldclientcertificaat en vingerafdruk genereren

Als u nog geen certificaat hebt, kunt u een voorbeeldcertificaat maken met behulp van de stap CLI. Overweeg handmatig te installeren voor Windows.

Nadat u Stap hebt geïnstalleerd, voert u in Windows PowerShell de opdracht uit om basis- en tussenliggende certificaten te maken.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

De CA-bestanden gebruiken die zijn gegenereerd om een certificaat voor de client te maken.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

Het CA-certificaat uploaden naar de naamruimte

  1. Navigeer in Azure Portal naar uw Event Grid-naamruimte.
  2. Navigeer onder de sectie MQTT-broker in het linkerspoor naar het menu CA-certificaten.
  3. Selecteer + Certificaat om de pagina Certificaat uploaden te starten.
  4. Voeg de certificaatnaam toe en blader naar het tussenliggende certificaat (.step/certs/intermediate_ca.crt) en selecteer Uploaden. U kunt een bestand met het type .pem, .cer of .crt uploaden.

Screenshot showing the added CA certificate listed in the CA certificates page.

Notitie

  • Ca-certificaatnaam mag 3-50 tekens lang zijn.
  • Ca-certificaatnaam kan alfanumerieke tekens, afbreekstreepjes(-) en geen spaties bevatten.
  • De naam moet uniek zijn per naamruimte.

Clientverificatie-instellingen configureren

  1. Navigeer naar de pagina Clients.
  2. Selecteer + Client om een nieuwe client toe te voegen. Als u een bestaande client wilt bijwerken, kunt u de clientnaam selecteren en de pagina Client bijwerken openen.
  3. Voeg op de pagina Client maken de clientnaam, clientverificatienaam en het validatieschema voor clientcertificaatverificatie toe. Normaal gesproken staat de naam van de clientverificatie in het veld onderwerpnaam voor het clientcertificaat.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. Selecteer de knop Maken om de client te maken.

Voorbeeld van certificaatobjectschema

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Azure CLI-configuratie

Gebruik de volgende opdrachten om een ca-certificaat (certificeringsinstantie) te uploaden/weergeven/verwijderen naar de service

Basiscertificaat of tussenliggende certificaat van certificeringsinstantie uploaden

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Certificaatgegevens weergeven

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Certificaat verwijderen

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Volgende stappen