Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Alkalmazható: Minden API Management-szint
Az API Management lehetővé teszi az API háttérszolgáltatásához való hozzáférést ügyféltanúsítványok és kölcsönös TLS-hitelesítés használatával. Ez a cikk bemutatja, hogyan kezelheti a tanúsítványokat az API Managementben az Azure Portal használatával. Azt is ismerteti, hogyan konfigurálhat egy API-t úgy, hogy tanúsítványt használjon egy háttérszolgáltatás eléréséhez.
Az API Management REST API-val is kezelheti az API Management-tanúsítványokat.
Tanúsítványbeállítások
Az API Management két lehetőséget kínál a háttérszolgáltatásokhoz való hozzáférés biztonságossá tételéhez használt tanúsítványok kezelésére:
- Hivatkozzon az Azure Key Vaultban felügyelt tanúsítványra.
- Adjon hozzá egy tanúsítványfájlt közvetlenül az API Managementben.
Javasoljuk, hogy key vault-tanúsítványokat használjon, mert ezzel javítja az API Management biztonságát:
- A kulcstartókban tárolt tanúsítványok a szolgáltatások között újra felhasználhatók.
- Részletes hozzáférési szabályzatok alkalmazhatók a kulcstartókban tárolt tanúsítványokra.
- A kulcstárban frissített tanúsítványok automatikusan megújításra kerülnek az API Managementben. A key vault frissítése után az API Management tanúsítványa négy órán belül frissül. Manuálisan is frissítheti a tanúsítványt az Azure Portalon vagy a felügyeleti REST API-val.
Előfeltételek
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Ha még nem hozott létre API Management-példányt, olvassa el az API Management szolgáltatáspéldány létrehozása című témakört.
Konfigurálja a háttérszolgáltatás ügyféltanúsítvány-hitelesítését. A tanúsítványhitelesítés Azure App Service-ben való konfigurálásáról további információt a TLS kölcsönös hitelesítésének konfigurálása az App Service-ben című témakörben talál.
Győződjön meg arról, hogy rendelkezik hozzáféréssel a tanúsítványhoz és a felügyelet jelszavához egy Azure-kulcstartóban, vagy egy tanúsítványhoz, amelyet fel szeretne tölteni az API Management szolgáltatásba. A tanúsítványnak PFX formátumban kell lennie. Önaláírt tanúsítványok engedélyezettek.
Ha önaláírt tanúsítványt használ:
Telepítse a megbízható legfelső szintű és köztes hitelesítésszolgáltatói tanúsítványokat az API Management-példányban.
Feljegyzés
Tanúsítványérvényesítéshez szükséges CA tanúsítványok nem támogatottak a Fogyasztási szinten.
Tiltsa le a tanúsítványlánc érvényesítését. Az önaláírt tanúsítványok tanúsítványlánc-érvényesítésének letiltása a cikk későbbi részében.
A Key Vault integrációjának előfeltételei
Feljegyzés
Ez a funkció jelenleg nem érhető el a munkaterületeken.
Ha még nincs kulcstára, hozzon létre egyet. A kulcstartó létrehozásával kapcsolatos információkért tekintse meg a gyorsútmutatót: Kulcstartó létrehozása az Azure Portal használatával.
Engedélyezze a rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást az API Managementben.
A Key Vaulthoz való hozzáférés konfigurálása
- A portálon nyissa meg a kulcstárat.
- A bal oldali menüben válassza az Access-konfigurációt. Jegyezze fel a konfigurált engedélymodellt .
- Az engedélymodelltől függően konfiguráljon kulcstartó-hozzáférési szabályzatot vagy Azure RBAC-hozzáférést egy API Management által felügyelt identitáshoz.
Kulcstár hozzáférési szabályzatának hozzáadása:
- A bal oldali menüben válassza az Access-szabályzatok lehetőséget.
- Az Access-szabályzatok lapon válassza a + Létrehozás lehetőséget.
- Az Engedélyek lap Titkos engedélyek csoportjában válassza a Beolvasás és a Lista lehetőséget, majd a Tovább lehetőséget.
- Az Egyszerű lapon válassza az Egyszerű lehetőséget, keresse meg a felügyelt identitás erőforrásnevét, majd kattintson a Tovább gombra. Ha rendszer által hozzárendelt identitást használ, az elsődleges az API Management példány neve.
- Kattintson ismét a Tovább gombra. A Áttekintés + Létrehozás lapon válassza a Létrehozás lehetőséget.
Ha tanúsítványt szeretne létrehozni a kulcstartóban, vagy importálni szeretne egy tanúsítványt a kulcstartóba, olvassa el a rövid útmutatót: Tanúsítvány beállítása és lekérése az Azure Key Vaultból az Azure Portal használatával.
A Key Vault tűzfalának követelményei
Ha a Key Vault tűzfala engedélyezve van a kulcstartón, az alábbi követelményeknek kell megfelelnie:
A kulcstár eléréséhez az API Management példány rendszer által hozzárendelt felügyelt identitását kell használnia.
A Key Vault tűzfalában engedélyezze a Megbízható Microsoft-szolgáltatások engedélyezését a tűzfal lehetőség megkerüléséhez.
Győződjön meg arról, hogy a helyi ügyfél IP-címe átmenetileg hozzáférhet a kulcstartóhoz, miközben kiválaszt egy tanúsítványt vagy titkos kulcsot, amelyet fel szeretne adni az Azure API Managementbe. További információ: Az Azure Key Vault hálózati beállításainak konfigurálása.
A konfiguráció befejezése után letilthatja az ügyfél címét a Key Vault tűzfalán.
A virtuális hálózatra vonatkozó követelmények
Ha az API Management-példány virtuális hálózaton van üzembe helyezve, konfigurálja a következő hálózati beállításokat is:
- Engedélyezze a szolgáltatási végpontot a Key Vaulthoz az API Management alhálózaton.
- Konfiguráljon egy hálózati biztonsági csoportot (NSG- szabályt) az AzureKeyVault és az AzureActiveDirectory szolgáltatáscímkék kimenő forgalmának engedélyezéséhez.
További információ: Hálózati konfiguráció az API Management virtuális hálózaton való beállításakor.
Key Vault-tanúsítvány hozzáadása
Tekintse meg a Key Vault integrációjának előfeltételeit.
Fontos
Ha kulcstartó-tanúsítványt szeretne hozzáadni az API Management-példányhoz, rendelkeznie kell a kulcstartó titkos kulcsainak listázásához szükséges engedélyekkel.
Figyelemfelhívás
Amikor kulcstartó-tanúsítványt használ az API Managementben, ügyeljen arra, hogy ne törölje a kulcstartó eléréséhez használt tanúsítványt, kulcstartót vagy felügyelt identitást.
Key Vault-tanúsítvány hozzáadása az API Managementhez:
Az Azure Portalon nyissa meg az API Management-példányt.
A Biztonság alatt válassza a Tanúsítványok lehetőséget.
Válassza a Tanúsítványok>+ Hozzáadás lehetőséget.
Az Azonosító mezőbe írjon be egy nevet.
A Tanúsítvány területen válassza a Key Vault lehetőséget.
Adja meg egy kulcstartó-tanúsítvány azonosítóját, vagy válassza a Kiválasztás lehetőséget egy tanúsítvány kulcstartóból való kiválasztásához.
Fontos
Ha saját maga adja meg a key vault tanúsítványazonosítóját, győződjön meg arról, hogy nem rendelkezik verzióinformációval. Ellenkező esetben a tanúsítvány nem cserélődik automatikusan az API-kezelésben a kulcstár frissítése után.
Az ügyfélidentitásban válasszon ki egy rendszer által hozzárendelt identitást vagy egy meglévő, felhasználó által hozzárendelt felügyelt identitást. További információ: Felügyelt identitások használata az Azure API Managementben.
Feljegyzés
Az identitásnak rendelkeznie kell engedélyekkel a tanúsítványok megszerzéséhez és listázásához a kulcstárból. Ha még nem konfigurálta a kulcstartóhoz való hozzáférést, az API Management kéri, hogy automatikusan konfigurálhassa az identitást a szükséges engedélyekkel.
Válassza a Hozzáadás lehetőséget.
Válassza a Mentés lehetőséget.
Tanúsítvány feltöltése
Ügyféltanúsítvány feltöltése az API Managementbe:
Az Azure Portalon nyissa meg az API Management-példányt.
A Biztonság alatt válassza a Tanúsítványok lehetőséget.
Válassza a Tanúsítványok>+ Hozzáadás lehetőséget.
Az Azonosító mezőbe írjon be egy nevet.
A Tanúsítvány területen válassza az Egyéni lehetőséget.
Tallózással válassza ki a tanúsítvány .pfx fájlját, és adja meg a jelszavát.
Válassza a Hozzáadás lehetőséget.
Válassza a Mentés lehetőséget.
A tanúsítvány feltöltése után megjelenik a Tanúsítványok ablakban. Ha sok tanúsítványa van, jegyezze fel az imént feltöltött tanúsítvány ujjlenyomatát. Konfigurálnia kell egy API-t az ügyféltanúsítvány átjáróhitelesítéshez való használatához.
API konfigurálása ügyféltanúsítvány használatára átjáróhitelesítéshez
Az Azure Portalon nyissa meg az API Management-példányt.
Az API-k alatt válassza az API-kat.
Válasszon egy API-t a listából.
A Tervezés lapon válassza a ceruza ikont a Háttér szakaszban.
Az átjáró hitelesítő adatai között válassza az Ügyféltanúsítvány lehetőséget, majd válassza ki a tanúsítványt az ügyféltanúsítványok listájában.
Válassza a Mentés lehetőséget.
Figyelemfelhívás
Ez a változás azonnal hatályba lép. Az API műveleteire irányuló hívások a tanúsítványt használják a háttérkiszolgálón való hitelesítéshez.
Tipp.
Ha egy API háttérszolgáltatásának átjáróhitelesítéséhez tanúsítványt ad meg, az az API szabályzatának részévé válik, és megtekinthető a szabályzatszerkesztőben.
Tanúsítványlánc érvényesítésének letiltása önaláírt tanúsítványok esetén
Ha önaláírt tanúsítványokat használ, le kell tiltania a tanúsítványlánc érvényesítését, hogy az API Management kommunikálhasson a háttérrendszerrel. Ellenkező esetben 500-os hibakódot fog kapni. Az ellenőrzés letiltásához használhatja az New-AzApiManagementBackend (új háttérrendszerhez) vagy Set-AzApiManagementBackend (meglévő háttérrendszer esetén) PowerShell-parancsmagokat, és beállíthatja a paramétert a -SkipCertificateChainValidation következőre True:
$context = New-AzApiManagementContext -ResourceGroupName 'ContosoResourceGroup' -ServiceName 'ContosoAPIMService'
New-AzApiManagementBackend -Context $context -Url 'https://contoso.com/myapi' -Protocol http -SkipCertificateChainValidation $true
A tanúsítványlánc érvényesítését a háttérbeli REST API-val is letilthatja.
Ügyféltanúsítvány törlése
Tanúsítvány törléséhez válassza a Törlés lehetőséget a három pont (...) menüben:
Fontos
Ha a tanúsítványra bármilyen szabályzat hivatkozik, megjelenik egy figyelmeztető képernyő. A tanúsítvány törléséhez először el kell távolítania azt a használatára konfigurált szabályzatokból.