Aracılığıyla paylaş

Sertifikaları kullanarak MQTT istemci kimlik doğrulaması

  • Makale

Azure Event Grid'in MQTT aracısı, X.509 sertifikalarını kullanan istemcilerin kimlik doğrulamasını destekler. X.509 sertifikası, belirli bir istemciyi kiracıyla ilişkilendirmek için kimlik bilgilerini sağlar. Bu modelde kimlik doğrulaması genellikle oturum oluşturma sırasında bir kez gerçekleşir. Ardından, aynı oturumu kullanan gelecekteki tüm işlemlerin bu kimlikten geldiği varsayılır.

Desteklenen kimlik doğrulama modları şunlardır:

  • Sertifika Yetkilisi (CA) tarafından verilen sertifikalar
  • Otomatik olarak imzalanan istemci sertifikası - parmak izi
  • Microsoft Entra Id belirteci

Bu makale sertifikalara odaklanır. Microsoft Entra Id belirteçlerini kullanarak kimlik doğrulaması hakkında bilgi edinmek için bkz . Microsoft Entra ID belirtecini kullanarak istemcinin kimliğini doğrulama.

Sertifika Yetkilisi (CA) imzalı sertifikalar

Bu yöntemde, hizmete bir kök veya ara X.509 sertifikası kaydedilir. Temelde, istemci sertifikasını imzalamak için kullanılan kök veya aracı sertifikanın önce hizmete kaydedilmesi gerekir.

Önemli

  • İstemci sertifikasını imzalamak için kullanılan kök veya ara sertifikayı karşıya yüklediğinizden emin olun. Sertifika zincirinin tamamını karşıya yüklemek için gerekli değildir.
  • Örneğin, kök, ara ve yaprak sertifika zinciriniz varsa yaprak/istemci sertifikalarını imzalayan ara sertifikayı karşıya yüklediğinizden emin olun.

İstemci sertifikalarını imzalamak için kök ve ara sertifikaların kullanıldığı CA sertifikaları sayfasını gösteren ekran görüntüsü.

İstemcileri kaydederken, istemcinin kimlik doğrulama adını tutmak için kullanılan sertifika alanını tanımlamanız gerekir. Hizmet, istemciyi doğrulamak için sertifikadaki kimlik doğrulama adını istemci meta verilerinde istemcinin kimlik doğrulama adıyla eşleştirir. Hizmet ayrıca daha önce kaydedilmiş kök sertifika veya aracı sertifika tarafından imzalanıp imzalanmadığını doğrulayarak istemci sertifikasını doğrular.

Beş sertifika zinciri tabanlı doğrulama şemasıyla istemci meta verilerini gösteren ekran görüntüsü.

Otomatik olarak imzalanan istemci sertifikası - parmak izi

Bu kimlik doğrulama yönteminde istemci kayıt defteri, istemcinin kimlik doğrulaması için kullanacağını sertifikanın tam parmak izini depolar. İstemci hizmete bağlanmaya çalıştığında, hizmet istemci sertifikasında sunulan parmak izini istemci meta verilerinde depolanan parmak iziyle karşılaştırarak istemciyi doğrular.

Parmak izi kimlik doğrulaması şemasıyla istemci meta verilerini gösteren ekran görüntüsü.

Not

  • İstemci kimlik doğrulama adını istemcinin bağlantı paketinin kullanıcı adı alanına eklemenizi öneririz. Hizmet, istemci sertifikasıyla birlikte bu kimlik doğrulama adını kullanarak istemcinin kimliğini doğrulayabilecektir.
  • Kullanıcı adı alanında kimlik doğrulama adını sağlamazsanız, ad alanı kapsamında istemci kimlik doğrulaması adı için alternatif kaynak alanlarını yapılandırmanız gerekir. Hizmet, istemci bağlantısının kimliğini doğrulamak için istemci sertifikasının karşılık gelen alanında istemci kimlik doğrulaması adını arar.

Ad alanı kapsamındaki yapılandırma sayfasında, alternatif istemci kimlik doğrulaması adı kaynaklarını etkinleştirebilir ve ardından istemci kimlik doğrulaması adına sahip istemci sertifikası alanlarını seçebilirsiniz.

İstemci kimlik doğrulaması adı alternatif kaynak ayarlarını içeren ad alanı yapılandırma sayfasını gösteren ekran görüntüsü.

Ad alanı yapılandırma sayfasındaki istemci sertifikası alanlarının seçim sırası önemlidir. Hizmet, istemci sertifika alanlarındaki istemci kimlik doğrulama adını aynı sırada arar.

Örneğin, istemci bağlantısının kimliğini doğrularken önce Sertifika DNS seçeneğini ve ardından Konu Adı seçeneğini seçerseniz,

  • hizmet, istemci kimlik doğrulaması adı için önce istemci sertifikasının konu alternatif adı DNS alanını denetler
  • DNS alanı boşsa, hizmet istemci sertifikasının Konu Adı alanını denetler
  • bu iki alanda da istemci kimlik doğrulaması adı yoksa, istemci bağlantısı reddedilir

her iki istemci kimlik doğrulaması modunda da, istemci kimlik doğrulaması adının bağlantı paketinin kullanıcı adı alanında veya istemci sertifika alanlarından birinde sağlanmasını bekleriz.

İstemci kimlik doğrulaması adının alternatif kaynağı için desteklenen istemci sertifikası alanları

İstemci sertifikasında istemci kimlik doğrulaması adı sağlamak için aşağıdaki alanlardan birini kullanabilirsiniz.

Kimlik doğrulama adı kaynak seçeneği Sertifika alanı Açıklama
Sertifika Konu Adı tls_client_auth_subject_dn Sertifikanın konu ayırt edici adı.
Sertifika Dns'i tls_client_auth_san_dns dNSName Sertifikadaki SAN girdisi.
Sertifika Uri'si tls_client_auth_san_uri uniformResourceIdentifier Sertifikadaki SAN girdisi.
Sertifika Ip'i tls_client_auth_san_ip Sertifikadaki iPAddress SAN girdisinde bulunan IPv4 veya IPv6 adresi.
Sertifika E-postası tls_client_auth_san_email rfc822Name Sertifikadaki SAN girdisi.

Sonraki adımlar

  • Sertifika zincirini kullanarak istemcilerin kimliğini doğrulamayı öğrenin
  • Microsoft Entra Id belirtecini kullanarak istemcinin kimliğini doğrulamayı öğrenin