Konfigurieren der Clientzertifikatauthentifizierung in Azure-Container-Apps
Azure Container-Apps unterstützen die Clientzertifikatauthentifizierung (auch als gegenseitiges TLS oder mTLS bezeichnet), das den Zugriff auf Ihre Container-App über bidirektionale Authentifizierung ermöglicht. In diesem Artikel erfahren Sie, wie Sie die Clientzertifikatautorisierung in Azure-Container-Apps konfigurieren.
Wenn Clientzertifikate verwendet werden, werden die TLS-Zertifikate zwischen dem Client und Ihrer Container-App ausgetauscht, um Identitäten zu authentifizieren und Datenverkehr zu verschlüsseln. Clientzertifikate werden häufig in Sicherheitsmodellen "null vertrauenswürdig" verwendet, um den Clientzugriff innerhalb einer Organisation zu autorisieren.
Sie können z. B. ein Clientzertifikat für eine Container-App anfordern, die vertrauliche Daten verwaltet.
Container-Apps akzeptieren Clientzertifikate im PKCS12-Format, die von einer vertrauenswürdigen Zertifizierungsstelle (Ca) ausgestellt wurden oder selbstsigniert sind.
Konfigurieren der Clientzertifikatautorisierung
Legen Sie die clientCertificateMode Eigenschaft in Ihrer Container-App-Vorlage fest, um die Unterstützung von Clientzertifikaten zu konfigurieren.
Die -Eigenschaft kann auf einen der folgenden Werte festgelegt werden:
require: Das Clientzertifikat ist für alle Anforderungen an die Container-App erforderlich.accept: Das Clientzertifikat ist optional. Wenn das Clientzertifikat nicht angegeben wird, wird die Anforderung weiterhin akzeptiert.ignore: Das Clientzertifikat wird ignoriert.
Ingress übergibt das Clientzertifikat an die Container-App, wenn require oder accept festgelegt ist.
Im folgenden ARM-Vorlagenbeispiel wird der Eingangseingang so konfiguriert, dass ein Clientzertifikat für alle Anforderungen an die Container-App erforderlich ist.
{
"properties": {
"configuration": {
"ingress": {
"clientCertificateMode": "require"
}
}
}
}