Sdílet prostřednictvím


Konfigurace ověřování klientských certifikátů v Azure Container Apps

Azure Container Apps podporuje ověřování klientských certifikátů (označované také jako vzájemné tls nebo mTLS), které umožňuje přístup k vaší aplikaci kontejneru prostřednictvím obousměrného ověřování. V tomto článku se dozvíte, jak nakonfigurovat autorizaci klientských certifikátů ve službě Azure Container Apps.

Při použití klientských certifikátů se certifikáty TLS vyměňují mezi klientem a vaší aplikací kontejneru za účelem ověření identity a šifrování provozu. Klientské certifikáty se často používají v modelech zabezpečení nulové důvěryhodnosti k autorizaci přístupu klientů v rámci organizace.

Například můžete chtít vyžadovat klientský certifikát pro aplikaci typu kontejner, která spravuje citlivá data.

Container Apps přijímá klientské certifikáty ve formátu PKCS12, které vydává důvěryhodná certifikační autorita (CA) nebo jsou podepsané svým držitelem.

Konfigurace autorizace klientského certifikátu

Pokud chcete nakonfigurovat podporu klientských certifikátů, nastavte clientCertificateMode vlastnost v šabloně aplikace kontejneru.

Vlastnost lze nastavit na jednu z následujících hodnot:

  • require: Klientský certifikát se vyžaduje pro všechny požadavky na aplikaci kontejneru.
  • accept: Klientský certifikát je volitelný. Pokud není zadaný klientský certifikát, žádost se stále přijme.
  • ignore: Klientský certifikát se ignoruje.

Příchozí přenos dat předá klientský certifikát do aplikace kontejneru, pokud require je nebo accept je nastaven.

Následující příklad šablony ARM nakonfiguruje příchozí přenos dat tak, aby vyžadoval klientský certifikát pro všechny požadavky na aplikaci kontejneru.

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Další kroky