التحقق من صحة شهادة العميل
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
استخدم النهج validate-client-certificate
لفرض تطابق الشهادة المقدمة من العميل لمثيل APIM مع قواعد ومطالبات التحقق من الصحة المحددة، مثل الموضوع، أو مصدر الشهادة لهوية شهادة واحدة أو أكثر.
لكي تعتبر شهادة العميل صالحة، يجب أن تتطابق مع جميع قواعد التحقق من الصحة المعرفة من خلال السمات في عنصر المستوى الأعلى، ومطابقة جميع المطالبات المعرفة لواحدة على الأقل من الهويات المعرفة.
استخدم هذا النهج للتحقق من خصائص الشهادة الواردة على أساس الخصائص المطلوبة. استخدم هذا النهج أيضًا لتجاوز التحقق الافتراضي من صحة شهادات العميل في هذه الحالات:
- إذا قمت بتحميل شهادات CA مخصصة من أجل التحقق من صحة طلبات العميل إلى البوابة المدارة.
- إذا قمت بتكوين مراجع تصديق مخصصة للتحقق من صحة طلبات العميل إلى البوابة المدارة ذاتيًا.
للحصول على مزيدٍ من المعلومات حول شهادات CA مخصصة ومراجع الشهادات، راجع كيفية إضافة شهادة CA مخصصة في APIM في Azure.
إشعار
تعيين عناصر النهج والعناصر التابعة بالترتيب الوارد في بيان النهج. تعلم كيفية إعداد نُهج APIM أو تعديلها.
نهج السياسة
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
سمات
الاسم | الوصف | مطلوبة | افتراضي |
---|---|---|---|
التحقق من صحة الإبطال | منطقي. تحديد ما إذا كان يتم التحقق من صحة الشهادة على أساس قائمة إبطال متصلة. تعبيرات النهج غير مسموح بها. | لا | true |
التحقق من صحة الثقة | منطقي. تحديد ما إذا كان ينبغي أن تفشل عملية التحقق من الصحة في حال لم تتمكن السلسلة من النجاح في إنشاء CA الموثوق به. تعبيرات النهج غير مسموح بها. | لا | true |
validate-not-before | منطقي. التحقق من القيمة على أساس الوقت الحالي. تعبيرات النهج غير مسموح بها. | لا | true |
التحقق من الصحة وليس بعد | منطقي. التحقق من القيمة على أساس الوقت الحالي. تعبيرات النهج غير مسموح بها. | لا | true |
تجاهل الخطأ | منطقي. تحديد ما إذا كان ينبغي أن ينتقل النهج إلى المعالج التالي، أو ينتقل إلى الخطأ عند فشل التحقق من الصحة. تعبيرات النهج غير مسموح بها. | لا | false |
عناصر
العنصر | الوصف | مطلوب |
---|---|---|
الهويات | أضف هذا العنصر لتحديد عنصر واحد أو أكثر identity مع مطالبات محددة على شهادة العميل. |
لا |
سمات الهوية
Name | الوصف | مطلوبة | افتراضي |
---|---|---|---|
thumbprint | بصمة الإبهام على الشهادة. | لا | غير متاح |
serial-number | الرقم التسلسلي للشهادة. | لا | غير متاح |
common-name | اسم الشهادة الشائع (جزء من سلسلة الموضوع). | لا | غير متاح |
الموضوع | سلسلة الموضوع. يجب متابعة تنسيق الاسم المميز. | لا | غير متاح |
dns-name | قيمة إدخال dnsName داخل المطالبة باسم بديل الموضوع. | لا | غير متاح |
issuer-subject | موضوع مصدر الشهادة. يجب متابعة تنسيق الاسم المميز. | لا | غير متاح |
issuer-thumbprint | بصمة الإبهام الخاصة بمصدر الشهادة. | لا | غير متاح |
issuer-certificate-id | معرف كيان الشهادة الموجود الذي يمثل المفتاح العام لمصدر الشهادة. يستبعد بعضها بعضًا مع السمات الأخرى لمصدر الشهادة. | لا | غير متاح |
الاستخدام
- أقسام النهج:الواردة.
- نطاقات النهج: العمومية، ومساحة العمل، والمنتج، وواجهة برمجة التطبيقات، والتشغيل
- البوابات: الكلاسيكية، الإصدار 2، الاستهلاك، المستضافة ذاتيا
مثال
يقوم المثال التالي بالتحقق من صحة شهادة عميل لمطابقة قواعد التحقق من الصحة الافتراضية للنهج، والتحقق مما إذا كان اسم مصدر الشهادة والموضوع يطابقان القيم المحددة.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O=Contoso Corp., CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
النهج ذات الصلة
المحتوى ذو الصلة
لمزيد من المعلومات حول العمل مع النُهج، راجع: