نظرة عامة على المصادقة المتبادلة مع بوابة التطبيق

تتيح المصادقة المتبادلة أو مصادقة العميل لـ Application Gateway بمصادقة العميل الذي يرسل طلبات. عادة ما يقوم العميل فقط بمصادقة Application Gateway؛ تسمح المصادقة المتبادلة لكل من العميل وApplication Gateway بالمصادقة على بعضهما البعض.

إشعار

نوصي باستخدام TLS 1.2 مع المصادقة المتبادلة حيث سيتم الاعتماد على TLS 1.2 في المستقبل.

المصادقة المتبادلة

تدعم بوابة التطبيق المصادقة المتبادلة القائمة على الشهادات، حيث يمكنك رفع شهادة CA موثوقة من العميل إلى بوابة التطبيق، وتستخدم البوابة تلك الشهادة لمصادقة العميل الذي يرسل طلبا إلى البوابة. مع الارتفاع في حالات استخدام إنترنت الأشياء وزيادة متطلبات الأمان عبر الصناعات، توفر المصادقة المتبادلة وسيلة لك لإدارة العملاء الذين يمكنهم استخدام Application Gateway والتحكم فيهم.

توفر بوابة التطبيقات خيارين تاليين للتحقق من شهادات العميل:

وضع تمرير TLS Mutual

في وضع المرور المتبادل عبر TLS، يطلب Application Gateway شهادة عميل أثناء مصافحة TLS لكنه لا ينهي الاتصال إذا كانت الشهادة مفقودة أو غير صالحة. يستمر الاتصال بالخلفية بغض النظر عن وجود أو صلاحية الشهادة. إذا تم توفير الشهادة، يمكن لبوابة التطبيق توجيهها إلى الواجهة الخلفية إذا كان التطبيق مطلوبا. خدمة الواجهة الخلفية مسؤولة عن التحقق من شهادة العميل. راجع متغيرات الخادم إذا أردت تكوين توجيه الشهادات. لا حاجة لرفع أي شهادة CA عندما تكون في وضع Passthrough. لإعداد passthrough، اتبع الخطوات في Configure Application Gateway مع المصادقة المتبادلة باستخدام قالب ARM.

إشعار

حاليا، تدعم هذه الميزة فقط من خلال نشر Azure Resource Manager باستخدام واجهة برمجة التطبيقات (API version 2025-03-01).

وضع TLS الصارم في Mutual

في وضع TLS الصارم المشترك، تفرض بوابة التطبيقات مصادقة شهادة العميل أثناء مصافحة TLS من خلال اشتراط شهادة عميل صالحة. لتمكين ذلك، يجب رفع شهادة CA موثوقة للعميل تحتوي على CA أصلي وCAs وسيطة اختيارية كجزء من ملف SSL FILE. يتم بعد ذلك ربط ملف SSL هذا بالمستمع لفرض المصادقة المتبادلة.

تفاصيل كيفية إعداد وضع TLS الصارم في Mutual TLS

لتكوين وضع المصادقة المتبادلة الصارم، يلزم رفع شهادة CA للعميل الموثوق كجزء من جزء مصادقة العميل في ملف SSL الخاص بها. بعد ذلك، يجب ربط ملف SSL بالمستمع لإكمال تكوين المصادقة المتبادلة. يجب أن تكون هناك دائمًا شهادة CA جذرية في شهادة العميل التي تقوم بتحميلها. يمكنك تحميل سلسلة شهادات أيضًا، ولكن يجب أن تتضمن السلسلة شهادة CA الجذر بالإضافة إلى العديد من شهادات CA المتوسطة كما تريد. يجب أن يكون الحد الأقصى لحجم كل ملف تم تحميله 25 كيلوبايت أو أقل.

على سبيل المثال، إذا كانت شهادة العميل تحتوي على شهادة المرجع المصدق الجذر وشهادات CA متوسطة متعددة وشهادة طرفية، تأكد من أن يتم تحميل شهادة المرجع المصدق الجذر وكافة شهادات CA المتوسطة على Application Gateway في ملف واحد. للحصول على مزيدٍ من المعلومات حول كيفية استخراج شهادة CA عميل موثوق به، راجع كيفية استخراج شهادات CA للعميل الموثوق به.

إذا كنت تقوم بتحميل سلسلة شهادات مع الجذر CA وشهادات CA المتوسطة، يجب تحميل سلسلة الشهادات كملف PEM أو CER إلى البوابة.

هام

تأكد من تحميل سلسلة شهادات CA للعميل الموثوق به بالكامل إلى Application Gateway عند استخدام المصادقة المتبادلة.

يمكن لكل ملف تعريف SSL دعم ما يصل إلى 100 سلسلة شهادات CA للعميل الموثوق بها. يمكن أن تدعم بوابة تطبيق واحدة ما مجموعه 200 سلسلة شهادات CA للعميل الموثوق بها.

إشعار

• تتوفر المصادقة المتبادلة فقط على وحدات Standard_v2 و SKUs WAF_v2.
• يتوفر تكوين المصادقة المتبادلة لمستمعي بروتوكول TLS (معاينة) حاليا من خلال واجهة برمجة تطبيقات REST وPowerShell وCLI.

الشهادات المدعومة للمصادقة الصارمة بنظام TLS المتبادل

تدعم بوابة التطبيق الشهادات الصادرة من المراجع المصدقة العامة والخاصة.

• شهادات CA الصادرة من جهات اعتماد معروفة: توجد الشهادات الوسيطة والجذر عادة في مخازن الشهادات الموثوقة وتمكن الاتصالات الموثوقة مع قليل أو بدون أي تكوين إضافي على الجهاز.
• شهادات المرجع المصدق الصادرة من المراجع المصدقة المنشأة للمؤسسة: عادة ما يتم إصدار هذه الشهادات بشكل خاص عبر مؤسستك ولا تثق بها كيانات أخرى. يجب استيراد الشهادات المتوسطة والجذرية إلى مخازن الشهادات الموثوق بها للعملاء لتأسيس ثقة السلسلة.

إشعار

عند إصدار شهادات العميل من المراجع المصدقة الراسخة، ضع في اعتبارك العمل مع المرجع المصدق لمعرفة ما إذا كان يمكن إصدار شهادة وسيطة لمؤسستك لمنع مصادقة شهادة العميل عبر المؤسسات غير المقصودة.

التحقق الإضافي من مصادقة العميل لوضع TLS الصارم المتبادل

تحقق من شهادة العميل DN

لديك خيار التحقق من المُصدر الفوري لشهادة العميل والسماح لـ Application Gateway بالثقة في مصدر الشهادة هذا فقط. يكون هذا الخيار متوقفا عن التشغيل بشكل افتراضي ولكن يمكنك تمكين ذلك من خلال المدخل أو PowerShell أو Azure CLI.

إذا اخترت تمكين بوابة التطبيق للتحقق من المصدر المباشر لشهادة العميل، فإليك كيفية تحديد اسم DN المصدر لشهادة العميل الذي سيتم استخراجه من الشهادات التي تم تحميلها.

• السيناريو 1: تتضمن سلسلة الشهادات: شهادة الجذر - شهادة وسيطة - شهادة طرفية
  • اسم موضوع الشهادة الوسيطة هو ما سيقوم Application Gateway باستخراجه باعتباره DN لجهة إصدار شهادة العميل وسيتم التحقق من مقابله.
• السيناريو 2: تتضمن سلسلة الشهادات: شهادة الجذر - شهادة وسيطة1 - شهادة وسيطة 2 - شهادة طرفية
  • اسم موضوع شهادة Intermediate2 هو ما يتم استخراجه كDN لمصدر شهادة العميل وسيتم التحقق منه ضده.
• السيناريو 3: تتضمن سلسلة الشهادات: شهادة الجذر - شهادة طرفية
  • يتم استخراج اسم الشهادة الجذرية كمصدر لشهادة العميل DN.
• السيناريو 4: سلاسل شهادات متعددة بنفس الطول في نفس الملف. تتضمن السلسلة 1: شهادة الجذر - الشهادة الوسيطة1 - شهادة طرفية. تتضمن السلسلة 2: شهادة الجذر - الشهادة الوسيطة 2 - شهادة طرفية.
  • يتم استخراج اسم موضوع شهادة Intermediate1 كمصدر شهادة العميل DN.
• السيناريو 5: سلاسل شهادات متعددة بنفس الطول في نفس الملف. تتضمن السلسلة 1: شهادة الجذر - الشهادة الوسيطة1 - شهادة طرفية. تتضمن السلسلة 2 شهادة الجذر - شهادة وسيطة 2 - شهادة وسيطة 3 - شهادة طرفية.
  • يتم استخراج اسم موضوع شهادة Intermediate3 كمصدر شهادة العميل DN.

هام

نوصي بتحميل سلسلة شهادات واحدة فقط لكل ملف. هذا مهم بشكل خاص إذا قمت بتمكين التحقق من شهادة العميل DN. عند رفع عدة سلاسل شهادات في ملف واحد، ستصل إلى السيناريو الرابع أو الخامس وقد تواجه مشاكل لاحقا عندما لا تتطابق شهادة العميل المقدمة مع بوابة تطبيق DN التي تم استخراجها من السلاسل من إصدار شهادة العميل.

للحصول على مزيدٍ من المعلومات حول كيفية استخراج شهادة CA عميل موثوق به، راجع كيفية استخراج شهادات CA للعميل الموثوق به.

متغيرات الخادم

مع مصادقة TLS المتبادلة، هناك متغيرات خادم إضافية يمكنك استخدامها لتمرير معلومات حول شهادة العميل إلى الخوادم الخلفية خلف بوابة التطبيق. للحصول على مزيدٍ من المعلومات حول متغيرات الخادم المتوفرة وكيفية استخدامها، تحقق من متغيرات الخادم.

إلغاء الشهادة

عندما يبدأ العميل اتصالا ببوابة تطبيق تم تكوينها بمصادقة TLS متبادلة، لا يمكن فقط التحقق من صحة سلسلة الشهادات والاسم المميز لمصدر الشهادة، ولكن يمكن التحقق من حالة الإبطال لشهادة العميل باستخدام OCSP (بروتوكول حالة الشهادة عبر الإنترنت). أثناء التحقق من الصحة، سيتم البحث عن الشهادة التي يقدمها العميل عبر مستجيب OCSP المحدد المحدد في ملحق الوصول إلى معلومات المرجع (AIA). في حال تم إلغاء شهادة العميل، تستجيب بوابة التطبيق للعميل برمز حالة HTTP 400 وسبب. إذا كانت الشهادة صالحة، فسيستمر معالجة الطلب بواسطة بوابة التطبيق وإعادة توجيهه إلى تجمع الخلفية المحدد.

يمكن تفعيل إلغاء شهادة العميل عبر واجهة برمجة تطبيقات REST، أو قالب ARM، أو العضلة ذات الرأس اليدوي، أو CLI، أو PowerShell.

لتكوين التحقق من إبطال العميل على بوابة تطبيق موجودة عبر Azure PowerShell، يمكن الرجوع إلى الأوامر التالية:

# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"

# Create new SSL Profile
$profile  = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw

# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP

# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw

يمكن العثور على قائمة بجميع مراجع Azure PowerShell لتكوين مصادقة العميل على بوابة التطبيق هنا:

• Set-AzApplicationGatewayClientAuthConfiguration
• New-AzApplicationGatewayClientAuthConfiguration

# Update existing gateway's SSL Profile
az network application-gateway update -n ApplicationGateway01 -g ResourceGroup01 --ssl-profiles [0].client-auth-configuration.verify-client-revocation=OCSP

يمكن العثور على قائمة بجميع مراجع Azure CLI لتكوين مصادقة العميل على بوابة التطبيق هنا:

• Azure CLI - بوابة التطبيق

مدخل Microsoft Azure

دعم مدخل Azure غير متوفر حاليا.

للتحقق من تقييم حالة إبطال OCSP لطلب العميل، ستحتوي سجلات الوصول على خاصية تسمى "sslClientVerify"، مع حالة استجابة OCSP.

من الضروري أن يكون مستجيب OCSP متاحا بقوة وأن يكون الاتصال الشبكي بين Application Gateway والمجيب ممكنا. في حال عدم قدرة Application Gateway على حل اسم النطاق المؤهل بالكامل (FQDN) للمستجيب المحدد أو تم حظر الاتصال بالشبكة من وإلى المستجيب، أو فشل حالة إلغاء الشهادة، وستعيد Application Gateway استجابة HTTP بقيمة 400 إلى العميل الطالب.

إشعار

يتم التحقق من التحقق من فحوصات OCSP عبر ذاكرة تخزين مؤقت محلية بناء على وقت nextUpdate الذي يحدده استجابة OCSP سابقة. إذا لم يتم تعبئة ذاكرة OCSP من طلب سابق، فقد يفشل الاستجابة الأولى. عند إعادة محاولة العميل، يجب العثور على الاستجابة في ذاكرة التخزين المؤقت وستتم معالجة الطلب كما هو متوقع.

ملاحظات

• فحص الإلغاء عبر CRL غير مدعوم
• تم تقديم التحقق من إبطال العميل في إصدار واجهة برمجة التطبيقات 2022-05-01

الخطوات التالية

بعد التعرف على المصادقة المتبادلة، انتقل إلى Configure Application Gateway with mutual authentication in PowerShell لإنشاء Application Gateway باستخدام المصادقة المتبادلة.