Azure API Management'de istemci sertifikası kimlik doğrulamasını kullanarak arka uç hizmetlerinin güvenliğini API Management

API Management, istemci sertifikalarını kullanarak BIR API'nin arka uç hizmetine erişimin güvenliğini sağlamanıza olanak sağlar. Bu kılavuzda, azure API Management hizmet örneğinde sertifika yönetimi ve Azure portal. Ayrıca, arka uç hizmetine erişmek için bir sertifika kullanmak üzere API'nin nasıl yapılandırıldığından da emin olur.

Ayrıca, sertifika API Management kullanarak da API Management REST API.

Sertifika seçenekleri

API Management, arka uç hizmetlerine erişimin güvenliğini sağlamak için kullanılan sertifikaları yönetmek için iki seçenek sağlar:

Anahtar kasası sertifikalarını kullanmak, güvenlik güvenliğinin iyileştirilmesine yardımcı API Management önerilir:

  • Anahtar kasalarında depolanan sertifikalar hizmetler arasında yeniden kullanılabilir
  • Anahtar kasalarında depolanan sertifikalara ayrıntılı erişim ilkeleri uygulanabilir
  • Anahtar kasasında güncelleştirilen sertifikalar otomatik olarak API Management. Anahtar kasasında güncelleştirmeden sonra, API Management sertifika 4 saat içinde güncelleştirilir. Sertifikayı sertifikayı el ile yenilemek için Azure portal yönetim hesabı aracılığıyla da REST API.

Önkoşullar

Not

Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

  • Henüz bir hizmet örneği API Management, bkz. Create an API Management service instance.
  • Arka uç hizmetinizin istemci sertifikası kimlik doğrulaması için yapılandırılmış olması gerekir. Sertifika kimlik doğrulamasını Azure App Service için bu makaleye bakın.
  • Sertifikaya ve azure anahtar kasasında yönetim parolasına erişmeniz veya sertifika hizmetine API Management gerekir. Sertifika PFX biçiminde olmalıdır. Otomatik olarak imzalanan sertifikalara izin verilir.

Anahtar kasası tümleştirmesi önkoşulları

  1. Anahtar kasası oluşturma adımları için bkz. Hızlı Başlangıç: Azure portal.
  2. API Management örneğinde sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen API Management etkinleştirin.
  3. Kasadan sertifika almak ve bu sertifikaları listeleye izinlerle yönetilen kimliğe bir anahtar kasası erişim ilkesi attayabilirsiniz. İlkeyi eklemek için:
    1. Portalda anahtar kasanıza gidin.
    2. Erişim Ayarlar > + Erişim > Ekle'yi seçin.
    3. Sertifika izinleri'ne ve ardından Al ve Listele'yi seçin.
    4. Sorumlu seçin'de yönetilen kimliğinizin kaynak adını seçin. Sistem tarafından atanan bir kimlik kullanıyorsanız sorumlu, API Management örneğinizin adıdır.
  4. Anahtar kasasına bir sertifika oluşturun veya içeri aktarın. Bkz. Hızlı Başlangıç: Azure portal kullanarak Azure Key Vault sertifika ayarlama ve Azure portal.

Key Vault güvenlik duvarı gereksinimleri

Anahtar Kasanızda Key Vault güvenlik duvarı etkinse, ek gereksinimler aşağıda verilmiştir:

  • Anahtar kasasına erişmek için API Management örneğinin sistem tarafından atanan yönetilen kimliğini kullanmanız gerekir.
  • Güvenlik Duvarı Key Vault, Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına Izin ver seçeneğini etkinleştirin.

Sanal ağ gereksinimleri

API Management örneği bir sanal ağda dağıtılmışsa, aşağıdaki ağ ayarlarını da yapılandırın:

  • API Management alt ağında Azure Key Vault için bir hizmet uç noktası etkinleştirin.
  • AzureKeyVault ve AzureActiveDirectory hizmet etiketlerinegiden trafiğe izin vermek için bir ağ güvenlik grubu (NSG) kuralı yapılandırın.

ayrıntılar için bkz. sanal bir ağ için Bağlanağ yapılandırması ayrıntıları.

Anahtar kasası sertifikası ekleme

Bkz. Anahtar kasası tümleştirmesi için önkoşullar.

Dikkat

API Management kasasında bir anahtar kasası sertifikası kullanırken, anahtar kasasına erişmek için kullanılan sertifikayı, anahtar kasasını veya yönetilen kimliği silmeye dikkat edin.

Sertifikanıza bir anahtar kasası sertifikası eklemek API Management:

  1. uygulama Azure portal,uygulama örneğinize API Management gidin.

  2. Güvenlik altında Sertifikalar'ı seçin.

  3. Sertifikalar + > Ekle'yi seçin.

  4. Kimlik alanına istediğiniz adı girin.

  5. Sertifika'da Anahtar kasası'ı seçin.

  6. Anahtar kasası sertifikasının tanımlayıcısını girin veya bir anahtar kasasında sertifika seçmek için Seç'i seçin.

    Önemli

    Anahtar kasası sertifika tanımlayıcısını kendiniz girersiniz, sürüm bilgilerine sahip olmadığını emin olun. Aksi takdirde sertifika, anahtar kasasında bir API Management sonra otomatik olarak döndürülemez.

  7. İstemci kimliği'nin altında sistem tarafından atanan veya mevcut bir kullanıcı tarafından atanan yönetilen kimliği seçin. API Management hizmetinize yönetilen kimlikler eklemeyi veya değiştirmeyi öğrenin.

    Not

    Kimlik, anahtar kasasını almak ve sertifikayı listelemektedir. Anahtar kasasına erişimi henüz yapılandırmadıysanız, API Management otomatik olarak yapılandırarak gerekli izinlerle yapılandırabilirsiniz.

  8. Add (Ekle) seçeneğini belirleyin.

    Anahtar kasası sertifikası ekleme

  9. Kaydet’i seçin.

Upload sertifikayı

İstemci sertifikasını API Management:

  1. uygulama Azure portal,uygulama örneğinize API Management gidin.

  2. Güvenlik altında Sertifikalar'ı seçin.

  3. Sertifikalar + > Ekle'yi seçin.

  4. Kimlik alanına istediğiniz adı girin.

  5. Sertifika'da Özel'i seçin.

  6. Sertifika .pfx dosyasını seçmek için gözatma ve parolasını girin.

  7. Add (Ekle) seçeneğini belirleyin.

    Upload istemci sertifikası

  8. Kaydet’i seçin.

Sertifika karşıya yüklendikten sonra Sertifikalar penceresinde gösterilir. Çok sayıda sertifikanız varsa, bir API'yi ağ geçidi kimlik doğrulaması için bir istemci sertifikası kullanmak üzere yapılandırmak üzere istenen sertifikanın parmak izini not edin.

Not

Örneğin, otomatik olarak imzalanan bir sertifika kullanırken sertifika zinciri doğrulamasını kapatmak için, bu makalenin devamlarında yer alan Otomatik olarak imzalanan sertifikalaraltında açıklanan adımları izleyin.

Bir API'yi ağ geçidi kimlik doğrulaması için istemci sertifikası kullanmak üzere yapılandırma

  1. uygulama Azure portal,uygulama örneğinize API Management gidin.

  2. API'ler altında API'ler'i seçin.

  3. Listeden bir API seçin.

  4. Tasarım sekmesinde, Arka uç bölümündeki düzenleyici simgesini seçin.

  5. Ağ geçidi kimlik bilgileri'nin altında İstemci sertifikası'nın ardından açılan listeden sertifikanızı seçin.

  6. Kaydet’i seçin.

    Ağ geçidi kimlik doğrulaması için istemci sertifikası kullanma

Dikkat

Bu değişiklik hemen geçerli olur ve bu API'nin işlemlerine yapılan çağrılar, arka uç sunucusunda kimlik doğrulaması yapmak için sertifikayı kullanır.

İpucu

Bir API'nin arka uç hizmeti için ağ geçidi kimlik doğrulaması için bir sertifika belirtildiklerinde, o API'nin ilkenin bir parçası olur ve ilke düzenleyicisinde viewedilebilir.

Otomatik olarak imzalanan sertifikalar

Otomatik olarak imzalanan sertifikalar kullanıyorsanız, arka uç sistemiyle iletişim kurmak için API Management zinciri doğrulamasını devre dışı bırakmanız gerekir. Aksi takdirde 500 hata kodu döndürür. Bunu yapılandırmak için (yeni arka uç için) veya (mevcut arka uç New-AzApiManagementBackend Set-AzApiManagementBackend için) PowerShell cmdlet'lerini kullanabilir ve parametresini -SkipCertificateChainValidation olarak True ayarlayın.

$context = New-AzApiManagementContext -resourcegroup 'ContosoResourceGroup' -servicename 'ContosoAPIMService'
New-AzApiManagementBackend -Context  $context -Url 'https://contoso.com/myapi' -Protocol http -SkipCertificateChainValidation $true

İstemci sertifikasını silme

Bir sertifikayı silmek için sertifikayı seçin ve ardından bağlam menüsünden Sil 'i (... ) seçin.

Sertifikayı silme

Önemli

Sertifikaya herhangi bir ilke başvurulsa bir uyarı ekranı görüntülenir. Sertifikayı silmek için önce sertifikayı kullanmak üzere yapılandırılmış ilkelerden kaldırmanız gerekir.

Sonraki adımlar