Поделиться через

Проверка подлинности клиента с помощью цепочки сертификатов ЦС

  • Статья

Используйте цепочку сертификатов ЦС в Сетка событий Azure для проверки подлинности клиентов при подключении к службе.

В этом руководстве выполняются следующие задачи:

  1. Отправьте сертификат ЦС, непосредственный родительский сертификат сертификата клиента в пространство имен.
  2. Настройте параметры проверки подлинности клиента.
  3. Подключите клиента с помощью сертификата клиента, подписанного ранее отправленным сертификатом ЦС.

Необходимые компоненты

  • Вам нужно уже созданное пространство имен сетки событий.
  • Вам нужна цепочка сертификатов ЦС: сертификаты клиента и родительский сертификат (обычно промежуточный сертификат), который использовался для подписи сертификатов клиента.

Создание примера сертификата клиента и отпечатка

Если у вас еще нет сертификата, можно создать пример сертификата с помощью интерфейса командной строки шага. Рассмотрите возможность установки вручную для Windows.

  1. После установки шага в Windows PowerShell выполните команду, чтобы создать корневые и промежуточные сертификаты.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
  1. Использование файлов ЦС, созданных для создания сертификата для клиента.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
  1. Чтобы просмотреть отпечаток, выполните команду Step.
step certificate fingerprint client1-authn-ID.pem

Отправка сертификата ЦС в пространство имен

  1. В портал Azure перейдите к пространству имен Сетки событий.
  2. В разделе брокера MQTT в левой железной дороге перейдите в меню сертификатов ЦС.
  3. Выберите +Сертификат, чтобы запустить страницу "Отправить сертификат ".
  4. Добавьте имя сертификата и найдите промежуточный сертификат (.step/certs/intermediate_ca.crt) и нажмите кнопку "Отправить". Вы можете отправить файл типа PEM, .cer или CRT.

Снимок экрана: добавленный сертификат ЦС, указанный на странице сертификатов ЦС.

Примечание.

  • Имя сертификата ЦС может содержать 3–50 символов.
  • Имя сертификата ЦС может включать буквенно-цифровые буквы, дефис(-) и без пробелов.
  • Имя должно быть уникальным для каждого пространства имен.

Настройка параметров проверки подлинности клиента

  1. Перейдите на страницу "Клиенты".
  2. Выберите + Клиент , чтобы добавить новый клиент. Если вы хотите обновить существующий клиент, можно выбрать имя клиента и открыть страницу "Обновить клиент".
  3. На странице "Создание клиента" добавьте имя клиента, имя проверки подлинности клиента и схему проверки подлинности сертификата клиента. Обычно имя проверки подлинности клиента будет находиться в поле имени субъекта для сертификата клиента.

Снимок экрана: метаданные клиента, использующие тему, совпадают с параметром имени проверки подлинности.

  1. Нажмите кнопку "Создать ", чтобы создать клиент.

Пример схемы объекта сертификата

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Настройка Azure CLI

Используйте следующие команды, чтобы отправить или показать или удалить сертификат центра сертификации (ЦС) в службу.

Отправка корневого или промежуточного сертификата центра сертификации

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Отображение сведений о сертификате

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Удаление сертификата

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Следующие шаги