Aracılığıyla paylaş

CA sertifika zincirini kullanarak istemci kimlik doğrulaması

  • Makale

Hizmete bağlanırken istemcilerin kimliğini doğrulamak için Azure Event Grid'de CA sertifika zincirini kullanın.

Bu kılavuzda aşağıdaki görevleri gerçekleştirirsiniz:

  1. İstemci sertifikasının hemen üst sertifikası olan bir CA sertifikasını ad alanına yükleyin.
  2. İstemci kimlik doğrulaması ayarlarını yapılandırın.
  3. Daha önce karşıya yüklenen CA sertifikası tarafından imzalanan istemci sertifikasını kullanarak bir istemci Bağlan.

Önkoşullar

  • Event Grid Ad Alanı'nın önceden oluşturulmuş olması gerekir.
  • CA sertifika zincirine ihtiyacınız var: İstemci sertifikalarını imzalamak için kullanılan istemci sertifikaları ve üst sertifika (genellikle bir ara sertifika).

Örnek istemci sertifikası ve parmak izi oluşturma

Henüz bir sertifikanız yoksa, CLI adımını kullanarak örnek bir sertifika oluşturabilirsiniz. Windows için el ile yüklemeyi göz önünde bulundurun.

Adım'ı yükledikten sonra, Windows PowerShell'de komutunu çalıştırarak kök ve ara sertifikalar oluşturun.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

İstemci için sertifika oluşturmak için oluşturulan CA dosyalarını kullanma.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

CA sertifikasını ad alanına yükleme

  1. Azure portalında Event Grid ad alanınıza gidin.
  2. Sol raydaki MQTT aracısı bölümünün altında CA sertifikaları menüsüne gidin.
  3. Sertifikayı karşıya yükle sayfasını başlatmak için + Sertifika'ya tıklayın.
  4. Sertifika adı ekleyin ve ara sertifikayı (.step/certs/intermediate_ca.crt) bulup Karşıya Yükle'yi seçin. .pem, .cer veya .crt türünde bir dosyayı karşıya yükleyebilirsiniz.

Screenshot showing the added CA certificate listed in the CA certificates page.

Dekont

  • CA sertifika adı 3-50 karakter uzunluğunda olabilir.
  • CA sertifika adı alfasayısal, kısa çizgi (-) ve boşluk içermez.
  • Adın ad alanı başına benzersiz olması gerekir.

İstemci kimlik doğrulaması ayarlarını yapılandırma

  1. İstemciler sayfasına gidin.
  2. Yeni bir istemci eklemek için + İstemci'yi seçin. Mevcut bir istemciyi güncelleştirmek istiyorsanız, istemci adını seçebilir ve İstemciyi güncelleştir sayfasını açabilirsiniz.
  3. İstemci oluştur sayfasında istemci adını, istemci kimlik doğrulama adını ve istemci sertifikası kimlik doğrulaması doğrulama düzenini ekleyin. Genellikle istemci kimlik doğrulaması adı, istemci sertifikasının konu adı alanında yer alır.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. İstemciyi oluşturmak için Oluştur düğmesini seçin.

Örnek sertifika nesnesi şeması

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Azure CLI yapılandırması

Bir sertifika yetkilisi (CA) sertifikasını hizmete yüklemek/göstermek/silmek için aşağıdaki komutları kullanın

Sertifika yetkilisi kök veya ara sertifikayı karşıya yükleme

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Sertifika bilgilerini göster

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Sertifikayı silme

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Sonraki adımlar