Exercício – Usar certificados do cliente para proteger o acesso a uma API
Você configurará o Gerenciamento de API para aceitar certificados do cliente usando políticas de entrada.
Suponha que sua empresa de clima tenha decidido proteger a API por meio da autenticação de certificado para determinados clientes que já usam a autenticação de certificado em outros sistemas. Essa configuração permitirá que os clientes usem seus certificados existentes para se autenticarem no gateway do Gerenciamento de API.
Nesta unidade, você vai:
- Criará um certificado autoassinado
- Configurará o gateway para solicitar certificados do cliente
- Obterá a impressão digital do certificado
- Editará a política de entrada para permitir somente clientes com o certificado especificado na solicitação
- Chamará o gateway do Gerenciamento de API e passará o certificado usando
curl
Observação
Este exercício usa os recursos que você configurou no exercício anterior.
Criar certificado autoassinado
Primeiro, use o Cloud Shell para criar um certificado autoassinado, que você usará para a autenticação entre o cliente e o gateway do Gerenciamento de API.
Execute os comandos a seguir no Cloud Shell para criar uma chave privada e um certificado.
pwd='<Enter a secure password here>' pfxFilePath='selfsigncert.pfx' openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out selfsigncert.crt -subj /CN=localhost
Para facilitar a compreensão deste exemplo, os comandos anteriores incluem a senha usada para proteger a chave privada. Sempre que você gerar uma chave privada para seu próprio uso, lembre-se de gerar uma senha segura e controlar o acesso a ela de modo adequado.
Agora, converta o certificado para o formato PEM, que pode ser usado pela ferramenta
curl
ao executar estes comandos:openssl pkcs12 -export -out $pfxFilePath -inkey privateKey.key -in selfsigncert.crt -password pass:$pwd openssl pkcs12 -in selfsigncert.pfx -out selfsigncert.pem -nodes
Quando for solicitado, insira sua senha segura e pressione Enter.
Configurará o gateway para solicitar certificados do cliente
Como você está usando a camada Consumo para o Gerenciamento de API, precisará configurar o gateway para aceitar certificados do cliente. Siga estas etapas.
No portal do Azure que já está aberto, selecione o serviço de Gerenciamento de API (APIM-WeatherDataNNNN).
No painel de menu à esquerda, em Implantação e infraestrutura, selecione Domínios personalizados. O painel Domínios personalizados é exibido para o serviço de Gerenciamento de API.
Para a opção Solicitar certificado do cliente, selecione Sim e, na barra de menus superior, selecione Salvar.
Obter a impressão digital do certificado
Nesta seção, você vai configurar o Gerenciamento de API para aceitar uma solicitação somente se ela tiver um certificado com determinada impressão digital. Vamos obter essa impressão digital do certificado.
Observação
Uma impressão digital do certificado SSL também é conhecida com o identificador único do certificado SSL.
Execute o código a seguir no Cloud Shell.
Fingerprint="$(openssl x509 -in selfsigncert.pem -noout -fingerprint)" Fingerprint="${Fingerprint//:}" echo ${Fingerprint#*=}
Copie a saída completa (uma cadeia de caracteres hexadecimal) e cole esse valor de impressão digital em um arquivo de texto.
Editar política de entrada para permitir somente solicitações com um certificado válido
Agora, crie a política de autenticação no gateway do Gerenciamento de API.
No portal do Azure, selecione o serviço de Gerenciamento de API. Se necessário, no menu de recursos do Azure, ou na página Início, selecione Todos os recursos e, em seguida, selecione o serviço de Gerenciamento de API.
No painel do menu à esquerda, em APIs, selecione APIs. O painel APIs será exibido para o serviço de Gerenciamento de API.
No menu secundário, selecione Dados Meteorológicos.
Na caixa Processamento de entrada, selecione o ícone </> para abrir Editor de código de políticas. O código HTML para o nó de políticas é exibido.
Substitua o nó
<inbound>
do arquivo de política pelo seguinte XML, substituindo a impressão digital que você copiou anteriormente pelo espaço reservadodesired-fingerprint
:<inbound> <choose> <when condition="@(context.Request.Certificate == null || context.Request.Certificate.Thumbprint != "desired-fingerprint")" > <return-response> <set-status code="403" reason="Invalid client certificate" /> </return-response> </when> </choose> <base /> </inbound>
Clique em Salvar.
Chamar o gateway e passar o certificado do cliente
Você pode testar a nova política de autenticação com e sem o certificado.
Para testar a API sem o certificado, execute o seguinte comando em Cloud Shell, substituindo os valores de espaço reservado pelo nome do gateway de API e pela chave de assinatura.
curl -X -v GET https://[api-gateway-name].azure-api.net/api/Weather/53/-1 \ -H 'Ocp-Apim-Subscription-Key: [Subscription Key]'
Esse comando deverá retornar um erro 403 Certificado do cliente e nenhum dado será retornado.
No Cloud Shell, para testar a API com o certificado, copie e cole o comando cURL a seguir, usando a chave de assinatura primária do primeiro exercício (você também pode obter essa chave primária no painel Assinaturas para o serviço de Gerenciamento de API do WeatherData). Lembre-se de incluir o nome do gateway de API.
curl -X GET https://[api-gateway-name].azure-api.net/api/Weather/53/-1 \ -H 'Ocp-Apim-Subscription-Key: [subscription-key]' \ --cert-type pem \ --cert selfsigncert.pem
Esse comando deverá resultar em uma resposta bem-sucedida, exibindo dados de clima semelhantes ao código mostrado a seguir.
{"mainOutlook":{"temperature":32,"humidity":34},"wind":{"speed":11,"direction":239.0},"date":"2019-05-16T00:00:00+00:00","latitude":53.0,"longitude":-1.0}