Az Application Gateway kölcsönös hitelesítésének áttekintése

A kölcsönös hitelesítés vagy ügyfélhitelesítés lehetővé teszi, hogy az Application Gateway hitelesítse az ügyfélküldő kéréseket. Általában csak az ügyfél hitelesíti az Application Gatewayt. A kölcsönös hitelesítés lehetővé teszi, hogy az ügyfél és az Application Gateway egyaránt hitelesítse egymást.

Feljegyzés

Javasoljuk, hogy a TLS 1.2-t kölcsönös hitelesítéssel használja, mert a TLS 1.2 a jövőben lesz kötelező.

Kölcsönös hitelesítés

Az Application Gateway támogatja a tanúsítványalapú kölcsönös hitelesítést. Megbízható ügyfél ca-tanúsítványokat tölthet fel az Application Gatewaybe, és az átjáró ezeket a tanúsítványokat használja a kéréseket küldő ügyfelek hitelesítéséhez. Az IoT-használati esetek számának növekedésével és a megnövekedett iparági biztonsági követelményekkel a kölcsönös hitelesítés lehetővé teszi annak kezelését és ellenőrzését, hogy mely ügyfelek kommunikálhatnak az Application Gateway használatával.

Az Application Gateway az alábbi két lehetőséget kínálja az ügyféltanúsítványok érvényesítéséhez:

Kölcsönös TLS átengedési mód

Kölcsönös TLS (mTLS) átengedési módban az Application Gateway ügyféltanúsítványt kér a TLS-kézfogás során, de nem szünteti meg a kapcsolatot, ha a tanúsítvány hiányzik vagy érvénytelen. A háttérrendszerhez való csatlakozás a tanúsítvány jelenlététől vagy érvényességétől függetlenül folytatódik. Ha tanúsítványt ad meg, az Application Gateway továbbíthatja azt a háttérrendszernek, ha az alkalmazás megköveteli. A háttérszolgáltatás feladata az ügyféltanúsítvány érvényesítése.

Az mTLS átengedési módjának előnyei

Az mTLS átengedési módja a következő előnyöket biztosítja:

• Egyszerűsített átjárókonfiguráció: Nincs szükség hitelesítésszolgáltatói tanúsítvány feltöltésére az átjáró szintjén.
• Rugalmas hitelesítés: Olyan vegyes forgalmi forgatókönyveket támogat, amelyekben egyes ügyfelek tanúsítványokat használnak, míg mások jogkivonatalapú hitelesítést használnak.
• Háttérszabályzat-kényszerítés: Lehetővé teszi, hogy a háttéralkalmazás egyéni tanúsítványérvényesítési logikát és szabályzatokat implementáljon.
• Csökkentett átjáróterhelés: A tanúsítványérvényesítés kiszervezése a háttérrendszerbe, csökkentve az átjáró feldolgozását.
• Fokozatos migrálás támogatása: Az mTLS fokozatos bevezetésének engedélyezése a meglévő forgalmi minták megzavarása nélkül.

Az ügyféltanúsítványok háttérrendszerbe való továbbításához konfiguráljon kiszolgálóváltozókat. További információ: Kiszolgálóváltozók.

MTLS átengedési mód konfigurálása

Az mTLS-átengedési módot a Azure portál vagy ARM-sablonok használatával konfigurálhatja.

Portal

Az mTLS átengedési módjának konfigurálása a Azure portálon:

1. Navigáljon a Application Gateway erőforráshoz.

2. A Beállítások területen válassza ki az SSL-profilokat.

3. Új SSL-profil létrehozásához válassza a + Hozzáadás lehetőséget.

4. Adja meg az SSL-profil nevét.

5. Az Ügyfélhitelesítés lapon válassza az Átengedés lehetőséget.

   Átengedési módban az ügyféltanúsítvány nem kötelező. Az ügyfélhitelesítésért a háttérkiszolgáló felel.

   

6. Szükség szerint konfigurálja az SSL-házirend beállításait.

7. Válassza a Hozzáadás lehetőséget az SSL-profil létrehozásához.

8. Társítsa az SSL-profilt a HTTPS-figyelőhöz.

ARM-sablon

Az mTLS átengedés beállításához ARM-sablon használatával alkalmazzon 2025-03-01 vagy annál újabb API-verziót. Részletes útmutatásért lásd: Az Application Gateway konfigurálása kölcsönös hitelesítéssel ARM-sablonnal.

Feljegyzés

Az átengedési konfiguráció PowerShell- és parancssori felület támogatása jelenleg nem érhető el.

Kölcsönös TLS szigorú mód

Kölcsönös TLS-szigorú módban az Application Gateway érvényes ügyféltanúsítvány megkövetelésével kényszeríti ki az ügyféltanúsítvány hitelesítését a TLS kézfogása során. A szigorú mód engedélyezéséhez töltsön fel egy megbízható ügyfél ca-tanúsítványt, amely egy legfelső szintű hitelesítésszolgáltatót és opcionálisan köztes hitelesítésszolgáltatókat tartalmaz az SSL-profil részeként. Társítsa ezt az SSL-profilt egy figyelőhöz a kölcsönös hitelesítés kényszerítéséhez.

Kölcsönös TLS-szigorú mód konfigurálása

A kölcsönös hitelesítés szigorú módjának konfigurálásához töltsön fel egy megbízható ügyfél-hitelesítésszolgáltatói tanúsítványt az SSL-profil ügyfélhitelesítési részének részeként. Ezután társítsa az SSL-profilt egy figyelővel a konfiguráció befejezéséhez. A feltöltött ügyféltanúsítványnak mindig tartalmaznia kell egy legfelső szintű hitelesítésszolgáltatói tanúsítványt. Feltölthet egy tanúsítványláncot, de a láncnak tartalmaznia kell egy legfelső szintű hitelesítésszolgáltatói tanúsítványt a köztes hitelesítésszolgáltatói tanúsítványok mellett. Az egyes feltöltött fájlok maximális mérete legfeljebb 25 KB lehet.

Ha például az ügyféltanúsítvány egy legfelső szintű hitelesítésszolgáltatói tanúsítványt, több köztes hitelesítésszolgáltatói tanúsítványt és levéltanúsítványt tartalmaz, töltse fel a legfelső szintű hitelesítésszolgáltatói tanúsítványt és az összes köztes hitelesítésszolgáltatói tanúsítványt az Application Gatewaybe egy fájlban. A megbízható ügyfél hitelesítésszolgáltatói tanúsítványának kinyeréséről további információt a megbízható ügyfél hitelesítésszolgáltatói tanúsítványainak kinyeréséről szóló cikkben talál.

Ha fő hitelesítésszolgáltatói és köztes hitelesítésszolgáltatói tanúsítványokkal rendelkező tanúsítványláncot tölt fel, töltse fel a tanúsítványláncot PEM- vagy CER-fájlként az átjáróba.

Fontos

Töltse fel a teljes megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot az Application Gatewaybe, amikor kölcsönös hitelesítést használ.

Minden SSL-profil legfeljebb 100 megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot támogat. Egyetlen Application Gateway összesen 200 megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot támogat.

Feljegyzés

• A kölcsönös hitelesítés csak Standard_v2 és WAF_v2 termékváltozatokon érhető el.
• A TLS protokollfigyelők kölcsönös hitelesítésének konfigurálása jelenleg a REST API-val, a PowerShell-lel és a parancssori felülettel érhető el.

A kölcsönös TLS-alapú szigorú módú hitelesítéshez támogatott tanúsítványok

Az Application Gateway mind a nyilvános, mind a magánhálózati hitelesítésszolgáltatóktól származó tanúsítványokat támogatja.

• A jól ismert hitelesítésszolgáltatóktól származó hitelesítésszolgáltatói tanúsítványok: A köztes és főtanúsítványok gyakran megtalálhatók a megbízható tanúsítványtárolókban, és lehetővé teszik a megbízható kapcsolatokat, amelyeken kevés a plusz konfiguráció az eszközön.
• A szervezet által létrehozott hitelesítésszolgáltatóktól kibocsátott hitelesítésszolgáltatói tanúsítványok: Ezeket a tanúsítványokat általában a szervezeten keresztül adják ki, és más entitások nem megbízhatók. Köztes és főtanúsítványok importálása megbízható tanúsítványtárolókba az ügyfelek számára a lánc megbízhatóságának kialakításához.

Feljegyzés

Ha jól bevált hitelesítésszolgáltatóktól állít ki ügyféltanúsítványokat, érdemes együttműködnie a hitelesítésszolgáltatóval annak megállapításához, hogy kibocsátható-e köztes tanúsítvány a szervezet számára. Ez a módszer megakadályozza a véletlen, szervezetközi ügyféltanúsítvány-hitelesítést.

Kölcsönös TLS szigorú üzemmódjának ügyfél-hitelesítési ellenőrzése

Ügyféltanúsítvány DN-ének ellenőrzése

Ellenőrizheti az ügyféltanúsítvány azonnali kiállítóját, és csak azt engedélyezheti, hogy az Application Gateway megbízzon a kiállítóban. Ez a beállítás alapértelmezés szerint ki van kapcsolva, de a portálon, a PowerShellen vagy a Azure CLI keresztül engedélyezheti.

Ha engedélyezi az Application Gateway számára az ügyféltanúsítvány azonnali kiállítójának ellenőrzését, az alábbi forgatókönyvek azt írják le, hogyan nyeri ki az ügyféltanúsítvány-kiállító DN-t a feltöltött tanúsítványokból:

• 1. forgatókönyv: A tanúsítványlánc tartalmazza a főtanúsítványt, a köztes tanúsítványt és a levéltanúsítványt.
  • A köztes tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
• 2. forgatókönyv: A tanúsítványlánc tartalmazza a gyökértanúsítványt, a közbenső1 tanúsítványt, a közbenső2 tanúsítványt és a levéltanúsítványt.
  • A köztes2 tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
• 3. forgatókönyv: A tanúsítványlánc tartalmazza a gyökér-tanúsítványt és a levél-tanúsítványt.
  • A főtanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
• 4. forgatókönyv: Több azonos hosszúságú tanúsítványlánc ugyanabban a fájlban. Az 1. lánc tartalmazza a főtanúsítványt, a köztes1 tanúsítványt és a levéltanúsítványt. A 2. lánc tartalmazza a főtanúsítványt, a köztes2 tanúsítványt és a levéltanúsítványt.
  • A köztes1 tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
• 5. forgatókönyv: Több különböző hosszúságú tanúsítványlánc ugyanabban a fájlban. Az 1. lánc tartalmazza a főtanúsítványt, a köztes1 tanúsítványt és a levéltanúsítványt. A 2. lánc tartalmazza a főtanúsítványt, a köztes2 tanúsítványt, a köztes3 tanúsítványt és a levéltanúsítványt.
  • A köztes3 tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.

Fontos

Javasoljuk, hogy fájlonként csak egy tanúsítványláncot töltsön fel. Ez a javaslat különösen fontos, ha engedélyezi az ügyféltanúsítvány DN-hitelesítésének ellenőrzését. Ha egy fájlban több tanúsítványláncot tölt fel, az négy vagy öt forgatókönyvet eredményez, ami később problémákat okozhat, ha a bemutatott ügyféltanúsítvány nem egyezik azzal az ügyféltanúsítvány-kiállító DN-ével, amelyet az Application Gateway kinyert a láncokból.

A megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncainak kinyeréséről további információt a megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncainak kinyeréséről szóló cikkben talál.

Kiszolgálóváltozók

A kölcsönös TLS-hitelesítéssel további kiszolgálóváltozók használatával továbbíthatja az ügyféltanúsítvány adatait az Application Gateway mögötti háttérkiszolgálóknak. További információ a kiszolgálóváltozók elérhetőségéről és használatáról: Kiszolgálóváltozók.

Tanúsítvány visszavonása

Amikor egy ügyfél kölcsönös TLS-hitelesítéssel konfigurált Application Gateway-kapcsolatot kezdeményez, a tanúsítványlánc és a kiállító megkülönböztető neve érvényesíthető. Emellett az ügyféltanúsítvány visszavonási állapota az OCSP -vel (online tanúsítványállapot-protokoll) is ellenőrizhető. Az ellenőrzés során az ügyfél által bemutatott tanúsítvány a megadott OCSP-válaszadón keresztül lesz megkeresve a Szolgáltatói információelérési (AIA) bővítményben. Ha az ügyféltanúsítványt visszavonták, az Application Gateway HTTP 400-állapotkóddal és okokkal válaszol az ügyfélnek. Ha a tanúsítvány érvényes, a kérést az Application Gateway továbbra is feldolgozja, és továbbítja a megadott háttérkészletbe.

Az ügyféltanúsítványok visszavonását REST API-val, ARM-sablonnal, Bicep, parancssori felülettel vagy PowerShell-lel engedélyezheti.

Azure PowerShell

Ha egy meglévő Application Gatewayen szeretné konfigurálni az ügyfél-visszavonási ellenőrzést Azure PowerShell használatával, használja az alábbi parancsokat:

# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"

# Create new SSL Profile
$profile  = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw

# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP

# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw

Az Application Gateway ügyfél-hitelesítési konfigurációjának Azure PowerShell hivatkozásainak listáját a következő cikkekben találja:

• Set-AzApplicationGatewayClientAuthConfiguration
• New-AzApplicationGatewayClientAuthConfiguration

Azure CLI

# Update existing gateway's SSL Profile
az network application-gateway update \
    --name ApplicationGateway01 \
    --resource-group ResourceGroup01 \
    --ssl-profiles [0].client-auth-configuration.verify-client-revocation=OCSP

Az Application Gateway ügyfél-hitelesítési konfigurációjának Azure CLI hivatkozásainak listáját lásd: Azure CLI – Application Gateway.

Azure Portál

Azure portál jelenleg nem támogatja a tanúsítvány-visszavonási konfigurációt.

Annak ellenőrzéséhez, hogy az OCSP visszavonási állapota kiértékelve lett-e az ügyfélkéréshez, a hozzáférési naplók egy úgynevezett sslClientVerify tulajdonságot tartalmaznak, amely megjeleníti az OCSP-válasz állapotát.

Kritikus fontosságú, hogy az OCSP-válaszadó magas rendelkezésre állású legyen, és hogy lehetséges legyen a hálózati kapcsolat az Application Gateway és a válaszadó között. Ha az Application Gateway nem tudja feloldani a megadott válaszadó teljes tartománynevét (FQDN), vagy ha a hálózati kapcsolat le van tiltva a válaszadóhoz vagy a válaszadótól, a tanúsítvány visszavonásának állapota meghiúsul, és az Application Gateway 400 HTTP-választ ad vissza a kérelmező ügyfélnek.

Feljegyzés

Az OCSP-ellenőrzéseket a rendszer a helyi gyorsítótáron keresztül ellenőrzi egy nextUpdate korábbi OCSP-válasz által meghatározott idő alapján. Ha az OCSP-gyorsítótár nem lett feltöltve egy korábbi kérésből, az első válasz sikertelen lehet. Az ügyfél újrapróbálkozásakor a választ a gyorsítótárban kell megtalálni, és a kérés a várt módon lesz feldolgozva.

Jegyzetek

• A visszavont tanúsítványok CRL-en keresztüli ellenőrzése nem támogatott.
• Az ügyfél-visszavonás ellenőrzése az API 2022-05-01-es verziójában lett bevezetve.

Kapcsolódó tartalom

A kölcsönös hitelesítés megismerése után lépjen az Application Gateway konfigurálása kölcsönös hitelesítéssel a PowerShellben egy kölcsönös hitelesítést használó Application Gateway létrehozásához.