Az Application Gateway kölcsönös hitelesítésének áttekintése
A kölcsönös hitelesítés vagy ügyfélhitelesítés lehetővé teszi, hogy az Application Gateway hitelesítse az ügyfélküldő kéréseket. Általában csak az ügyfél hitelesíti az Application Gatewayt; a kölcsönös hitelesítés lehetővé teszi, hogy az ügyfél és az Application Gateway egyaránt hitelesítse egymást.
Feljegyzés
Javasoljuk, hogy a TLS 1.2-t kölcsönös hitelesítéssel használja, mivel a TLS 1.2 a jövőben lesz kötelező.
Kölcsönös hitelesítés
Az Application Gateway támogatja a tanúsítványalapú kölcsönös hitelesítést, ahol feltölthet egy megbízható ügyfél-hitelesítésszolgáltatói tanúsítványt az Application Gatewayre, és az átjáró ezt a tanúsítványt fogja használni a kérést az átjárónak küldő ügyfél hitelesítéséhez. Az IoT-használati esetek számának növekedésével és a megnövekedett iparági biztonsági követelményekkel a kölcsönös hitelesítés lehetővé teszi annak kezelését és ellenőrzését, hogy mely ügyfelek beszélhetnek az Application Gateway használatával.
A kölcsönös hitelesítés konfigurálásához megbízható ügyfél-hitelesítésszolgáltatói tanúsítványt kell feltölteni az SSL-profil ügyfél-hitelesítési részének részeként. Az SSL-profilt ezután egy figyelőhöz kell társítani a kölcsönös hitelesítés konfigurálásához. A feltöltött ügyféltanúsítványban mindig lennie kell egy legfelső szintű hitelesítésszolgáltatói tanúsítványnak. A tanúsítványláncot is feltöltheti, de a láncnak tartalmaznia kell egy legfelső szintű hitelesítésszolgáltatói tanúsítványt a kívánt számú köztes hitelesítésszolgáltatói tanúsítvány mellett. Az egyes feltöltött fájlok maximális mérete legfeljebb 25 KB lehet.
Ha például az ügyféltanúsítvány egy fő hitelesítésszolgáltatói tanúsítványt, több köztes hitelesítésszolgáltatói tanúsítványt és levéltanúsítványt tartalmaz, győződjön meg arról, hogy a fő hitelesítésszolgáltatói tanúsítvány és az összes köztes hitelesítésszolgáltatói tanúsítvány egy fájlban van feltöltve az Application Gatewayre. A megbízható ügyfél hitelesítésszolgáltatói tanúsítványainak kinyeréséről további információt a megbízható ügyfél hitelesítésszolgáltatói tanúsítványainak kinyeréséről talál.
Ha fő hitelesítésszolgáltatói és köztes hitelesítésszolgáltatói tanúsítványokkal rendelkező tanúsítványláncot tölt fel, a tanúsítványláncot PEM- vagy CER-fájlként kell feltölteni az átjáróba.
Fontos
A kölcsönös hitelesítés használatakor győződjön meg arról, hogy a teljes megbízható ügyfél-hitelesítés-tanúsítványláncot feltölti az Application Gatewayre.
Minden SSL-profil legfeljebb 100 megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot támogat. Egyetlen Application Gateway összesen 200 megbízható ügyfél-hitelesítésszolgáltatói tanúsítványláncot támogat.
Feljegyzés
- A kölcsönös hitelesítés csak Standard_v2 és WAF_v2 termékváltozatokon érhető el.
- A TLS protokollfigyelők kölcsönös hitelesítésének (előzetes verzió) konfigurálása jelenleg a REST API-n, a PowerShellen és a CLI-n keresztül érhető el. Hamarosan megjelenik az Azure Portal támogatása.
Kölcsönös hitelesítéshez támogatott tanúsítványok
Az Application Gateway mind a nyilvános, mind a magánhálózati hitelesítésszolgáltatóktól származó tanúsítványokat támogatja.
- Jól ismert hitelesítésszolgáltatótól származó hitelesítésszolgáltatói tanúsítványok: A köztes és a főtanúsítványok gyakran megtalálhatók a megbízható tanúsítványtárolókban, és lehetővé teszik a megbízható kapcsolatokat, amelyekhez az eszközön alig vagy egyáltalán nincs további konfiguráció.
- A szervezet által létrehozott hitelesítésszolgáltatóktól kibocsátott hitelesítésszolgáltatói tanúsítványok: Ezeket a tanúsítványokat általában a szervezeten keresztül adják ki, és más entitások nem megbízhatók. A köztes és főtanúsítványokat megbízható tanúsítványtárolókba kell importálni, hogy az ügyfelek láncmegbízhatóságot létesíthessenek.
Feljegyzés
Ha jól bevált hitelesítésszolgáltatóktól állít ki ügyféltanúsítványokat, érdemes lehet együttműködni a hitelesítésszolgáltatóval annak megállapításához, hogy ki lehet-e adni egy köztes tanúsítványt a szervezet számára, hogy megelőzze a szervezeten belüli véletlen kereszttanúsítvány-hitelesítést.
További ügyfélhitelesítés ellenőrzése
Ügyféltanúsítvány DN-ének ellenőrzése
Lehetősége van ellenőrizni az ügyféltanúsítvány azonnali kiállítóját, és csak az Application Gateway számára engedélyezni, hogy megbízzon a kiállítóban. Ez a beállítás alapértelmezés szerint ki van kapcsolva, de ezt a portálon, a PowerShellen vagy az Azure CLI-vel engedélyezheti.
Ha úgy dönt, hogy engedélyezi az Application Gateway számára az ügyféltanúsítvány azonnali kiállítójának ellenőrzését, az alábbiak szerint állapíthatja meg, hogy milyen ügyféltanúsítvány-kiállítóI DN lesz kinyerve a feltöltött tanúsítványokból.
- 1. forgatókönyv: A tanúsítványlánc a következőket tartalmazza: főtanúsítvány – köztes tanúsítvány – levéltanúsítvány
- A köztes tanúsítvány tulajdonosának neve az, amit az Application Gateway kinyer az ügyféltanúsítvány-kiállító DN-jeként, és a rendszer ellenőrzi.
- 2. forgatókönyv: A tanúsítványlánc a következőket tartalmazza: főtanúsítvány – köztes1 tanúsítvány – köztes2 tanúsítvány – levéltanúsítvány
- A köztes2 tanúsítvány tulajdonosának neve lesz az ügyféltanúsítvány-kiállító DN-ként kinyert neve, és a rendszer ellenőrzi.
- 3. forgatókönyv: A tanúsítványlánc a következőket tartalmazza: főtanúsítvány – levéltanúsítvány
- A főtanúsítvány tulajdonosának neve ki lesz nyerve, és az ügyféltanúsítvány-kiállító DN-ként lesz használva.
- 4. forgatókönyv: Több azonos hosszúságú tanúsítványlánc ugyanabban a fájlban. Az 1. lánc a következőket tartalmazza: főtanúsítvány – köztes1 tanúsítvány – levéltanúsítvány. A 2. lánc a következőket tartalmazza: főtanúsítvány – köztes2 tanúsítvány – levéltanúsítvány.
- A köztes1 tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
- 5. forgatókönyv: Több különböző hosszúságú tanúsítványlánc ugyanabban a fájlban. Az 1. lánc a következőket tartalmazza: főtanúsítvány – köztes1 tanúsítvány – levéltanúsítvány. A 2. lánc tartalmazza a főtanúsítványt – köztes2 tanúsítvány – köztes3 tanúsítvány – levéltanúsítvány.
- A köztes3 tanúsítvány tulajdonosának neve az ügyféltanúsítvány-kiállító DN-ként lesz kinyerve.
Fontos
Javasoljuk, hogy fájlonként csak egy tanúsítványláncot töltsön fel. Ez különösen akkor fontos, ha engedélyezi az ügyféltanúsítvány DN-ének ellenőrzését. Ha több tanúsítványláncot tölt fel egy fájlba, a negyedik vagy az ötödik forgatókönyvbe kerül, és később problémákba ütközhet, ha a bemutatott ügyféltanúsítvány nem egyezik a láncokból kinyert ügyféltanúsítvány-kiállító DN Application Gateway-ével.
A megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncainak kinyeréséről további információt a megbízható ügyfél hitelesítésszolgáltatói tanúsítványláncainak kinyeréséről talál.
Kiszolgálóváltozók
A kölcsönös TLS-hitelesítéssel további kiszolgálóváltozók is használhatók az ügyféltanúsítvány adatainak az Application Gateway mögötti háttérkiszolgálóknak való átadására. A kiszolgálóváltozókról és azok használatáról további információt a kiszolgálóváltozókban talál.
Tanúsítvány visszavonása
Amikor egy ügyfél kölcsönös TLS-hitelesítéssel konfigurált Application Gateway-kapcsolattal kezdeményez kapcsolatot, nem csak a tanúsítványlánc és a kiállító megkülönböztető neve érvényesíthető, hanem az ügyféltanúsítvány visszavonási állapota is ellenőrizhető az OCSP -vel (online tanúsítványállapot-protokoll). Az ellenőrzés során az ügyfél által bemutatott tanúsítvány a Szolgáltatói információ-hozzáférési (AIA) bővítményben meghatározott OCSP-válaszadón keresztül lesz megkeresve. Ha az ügyféltanúsítványt visszavonták, az Application Gateway HTTP 400-állapotkóddal és okokkal válaszol az ügyfélnek. Ha a tanúsítvány érvényes, a kérést az Application Gateway továbbra is feldolgozni fogja, és a megadott háttérkészletbe továbbítja.
Az ügyféltanúsítványok visszavonása a REST API, ARM, Bicep, CLI vagy PowerShell használatával engedélyezhető.
Ha egy meglévő Application Gatewayen szeretné konfigurálni az ügyfél-visszavonási ellenőrzést az Azure PowerShell-lel, az alábbi parancsokra lehet hivatkozni:
# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"
# Create new SSL Profile
$profile = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw
# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP
# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw
Az Application Gateway ügyfél-hitelesítési konfigurációjára vonatkozó Azure PowerShell-hivatkozások listája itt található:
Annak ellenőrzéséhez, hogy az OCSP visszavonási állapota kiértékelve lett-e az ügyfélkéréshez, a hozzáférési naplók egy "sslClientVerify" nevű tulajdonságot tartalmaznak, amely az OCSP-válasz állapotát tartalmazza.
Kritikus fontosságú, hogy az OCSP-válaszadó magas rendelkezésre állású legyen, és lehetséges legyen a hálózati kapcsolat az Application Gateway és a válaszadó között. Abban az esetben, ha az Application Gateway nem tudja feloldani a megadott válaszadó teljes tartománynevét (FQDN), vagy a hálózati kapcsolat le van tiltva a válaszadóhoz vagy a válaszadótól, a tanúsítvány visszavonásának állapota meghiúsul, és az Application Gateway 400 HTTP-választ ad vissza a kérelmező ügyfélnek.
Megjegyzés: Az OCSP-ellenőrzések a helyi gyorsítótáron keresztül lesznek érvényesítve az előző OCSP-válasz által meghatározott következő frissítési idő alapján. Ha az OCSP-gyorsítótár nem lett feltöltve egy korábbi kérésből, az első válasz sikertelen lehet. Az ügyfél újrapróbálkozásakor a választ a gyorsítótárban kell megtalálni, és a kérés a várt módon lesz feldolgozva.
Jegyzetek
- A visszavont tanúsítványok crl-en keresztüli ellenőrzése nem támogatott
- Az ügyfél-visszavonás ellenőrzése az API 2022-05-01-es verziójában lett bevezetve
Következő lépések
A kölcsönös hitelesítés megismerését követően nyissa meg az Application Gateway kölcsönös hitelesítéssel való konfigurálását a PowerShellben , hogy kölcsönös hitelesítéssel hozzon létre egy Application Gatewayt.