Compartir a través de

Autenticación de cliente mediante la cadena de certificados de CA

  • Artículo

Use la cadena de certificados de CA en Azure Event Grid para autenticar a los clientes al conectarse al servicio.

En esta guía, realizará las tareas siguientes:

  1. Cargue un certificado de CA, el certificado primario inmediato del certificado de cliente, en el espacio de nombres.
  2. Configure los valores de autenticación de los clientes.
  3. Conecte un cliente mediante el certificado de cliente firmado por el certificado de CA que ha cargado anteriormente.

Requisitos previos

  • Necesita haber creado ya un espacio de nombres de Event Grid.
  • Necesita una cadena de certificados de CA: certificados de cliente y el certificado primario (normalmente un certificado intermedio) que se usó para firmar los certificados de cliente.

Generación de un certificado de cliente de ejemplo y una huella digital

Si aún no tiene un certificado, puede crear un certificado de ejemplo mediante la CLI de Step. Considere la posibilidad de instalar manualmente para Windows.

Una vez instalado Step, en Windows PowerShell, ejecute el comando para crear certificados raíz e intermedios.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

Uso de los archivos de CA generados para crear un certificado para el cliente.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

Carga del certificado de CA en el espacio de nombres

  1. En Azure Portal, vaya al espacio de nombres de Event Grid.
  2. En la sección de MQTT broker del raíl izquierdo, vaya al menú de certificados de CA.
  3. Seleccione + Certificado para iniciar la página Cargar certificado.
  4. Agregue el nombre del certificado y busque el certificado intermedio (.step/certs/intermediate_ca.crt). Luego, seleccione Cargar. Puedes cargar un archivo .pem, .cer o .crt.

Screenshot showing the added CA certificate listed in the CA certificates page.

Nota:

  • El nombre del certificado de CA puede tener entre 3 y 50 caracteres.
  • El nombre del certificado de CA puede incluir caracteres alfanuméricos, guiones (-) y no debe tener espacios.
  • El nombre debe ser único en cada espacio de nombres.

Configuración de los valores de autenticación de los clientes

  1. Vaya a la página Clientes.
  2. Seleccione + Cliente para agregar un nuevo cliente. Si quiere actualizar un cliente existente, puede seleccionar el nombre del cliente y abrir la página Actualizar cliente.
  3. En la página Crear cliente, agregue el nombre de cliente, el nombre de autenticación de cliente y el esquema de validación de autenticación de certificados de cliente. Normalmente, el nombre de autenticación del cliente estaría en el campo de nombre del firmante del certificado de cliente.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. Seleccione el botón Crear para crear el cliente.

Esquema de objeto de certificado de ejemplo

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Configuración de la CLI de Azure

Use los siguientes comandos para cargar, mostrar o eliminar un certificado de la entidad de certificación (CA) en el servicio

Carga del certificado raíz o intermedio de la entidad de certificación

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Visualización de información del certificado

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Eliminar un certificado

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Pasos siguientes