استخدام mTLS في Azure Container Apps

أمان طبقة النقل المتبادل (mTLS) هو امتداد لبروتوكول TLS القياسي الذي يوفر المصادقة المتبادلة بين العميل والخادم. تدعم Azure Container Apps تشغيل التطبيقات التي تدعم mTLS لتوفير مزيد من الأمان في تطبيقاتك.

في Azure Container Apps، تمر جميع الطلبات الواردة عبر Envoy قبل توجيهها إلى تطبيق الحاوية الهدف. عند استخدام mTLS، يتبادل العميل الشهادات مع Envoy. يتم وضع كل شهادة من هذه الشهادات في رأس X-Forwarded-Client-Cert ، والذي يتم إرساله بعد ذلك إلى التطبيق.

لإنشاء تطبيق mTLS في Azure Container Apps، تحتاج إلى:

1. تكوين Azure Container Apps لطلب شهادات العميل من النظراء.
2. استخراج X.509 الشهادات من الطلبات.

توضح هذه المقالة كيفية التعامل مع شهادات تأكيد اتصال mTLS النظيرة عن طريق استخراج الشهادة X.509 من العميل.

طلب شهادات العميل

استخدم الخطوات التالية لتكوين تطبيق الحاوية لطلب شهادات العميل:

1. افتح تطبيق الحاوية في مدخل Microsoft Azure.
2. ضمن Settings، حدد Ingress.
3. حدد الخيار Enabled.
4. بالنسبة لنوع الدخول، حدد HTTP.
5. ضمن وضع شهادة العميل، حدد طلب.
6. حدد حفظ لتطبيق التغييرات.

لمزيد من المعلومات حول تكوين مصادقة شهادة العميل في Azure Container Apps، راجع تكوين مصادقة شهادة العميل في Azure Container Apps.

استخراج شهادات X.509

لاستخراج X.509 الشهادات من X-Forwarded-Client-Cert العنوان، قم بتحليل قيمة العنوان في التعليمات البرمجية للتطبيق الخاص بك. يحتوي هذا العنوان على معلومات شهادة العميل عند تمكين mTLS. يتم توفير الشهادات بتنسيق قائمة مفصولة بفواصل منقوطة، والتي تتضمن التجزئة والشهادة والسلسلة.

إليك الإجراء الذي تريد اتباعه لاستخراج الشهادة وتحليلها في التطبيق الخاص بك:

1. X-Forwarded-Client-Cert استرداد العنوان من الطلب الوارد.
2. تحليل قيمة العنوان لاستخراج تفاصيل الشهادة.
3. ضع الشهادات التي تم تحليلها إلى سمة الشهادة القياسية لمزيد من التحقق من الصحة أو الاستخدام.

بمجرد تحليلها، يمكنك التحقق من صحة الشهادات واستخدامها وفقا لاحتياجات التطبيق الخاص بك.

مثال

في تطبيقات Java، يمكنك استخدام عامل تصفية مصادقة Reactive X.509 لتعيين معلومات المستخدم من الشهادات إلى سياق الأمان. للحصول على مثال كامل لتطبيق Java مع mTLS في Azure Container Apps، راجع mTLS Server Application على Azure Container Apps.

المحتوى ذو الصلة

• تكوين مصادقة شهادة العميل في Azure Container Apps
• أسماء المجالات المخصصة وإحضار الشهادات الخاصة بك في Azure Container Apps