Megosztás a következőn keresztül:

Azure-beli bizalmas főkönyv-csomópontok hitelesítése

  • Cikk

A kódminták és a felhasználók hitelesíthetik az Azure bizalmas főkönyv-csomópontjait.

Kódminták

Inicializáláskor a kódminták lekérik a csomóponttanúsítványt az Identity Service lekérdezésével. A kódminta lekéri a csomóponttanúsítványt, mielőtt lekérdezi a főkönyvet egy ajánlat lekéréséhez, amelyet a gazdagép ellenőrzése bináris fájlok használatával érvényesít. Ha az ellenőrzés sikeres, a kódminta a főkönyvi műveletekre folytatódik.

Felhasználók

A felhasználók ellenőrizhetik az Azure bizalmas főkönyv-csomópontjainak hitelességét, hogy meggyőződjenek arról, hogy valóban együttműködnek a főkönyvük enklávéjával. A bizalmas Azure-naplócsomópontokban több módon is létrehozhat megbízhatóságot, amelyeket egymásra halmozva növelheti a megbízhatóság általános szintjét. Ezért az 1. és a 2. lépés az Azure-beli bizalmas főkönyv-enklávé felhasználói számára fontos bizalomépítési mechanizmusok a kezdeti TLS-kézfogás és hitelesítés részeként a funkcionális munkafolyamatokon belül. Emellett a felhasználó ügyfele és a bizalmas főkönyv között állandó ügyfélkapcsolat marad fenn.

  1. Bizalmas főkönyv-csomópont érvényesítése: A bizalmas főkönyv-csomópontok ellenőrzése a Microsoft által üzemeltetett identitásszolgáltatás lekérdezésével történik, amely szolgáltatástanúsítványt biztosít, és így segít ellenőrizni, hogy a főkönyv-csomópont egy, az adott példányhoz tartozó szolgáltatástanúsítvány által támogatott/aláírt tanúsítványt mutat-e be. Egy jól ismert hitelesítésszolgáltató (CA) vagy köztes hitelesítésszolgáltató PKI-alapú HTTPS használatával írja alá a kiszolgáló tanúsítványát. Az Azure-beli bizalmas főkönyv esetében a ca-tanúsítványt az Identity Service adja vissza a szolgáltatástanúsítvány formájában. Ha ezt a csomóponttanúsítványt nem a visszaadott szolgáltatástanúsítvány írja alá, az ügyfélkapcsolatnak meghiúsulnia kell (a mintakódban implementálva).

  2. Bizalmas főkönyv-enklávé érvényesítése: A bizalmas főkönyvek egy távoli igazolási jelentés (vagy idézőjel) által képviselt Intel® SGX-enklávéban futnak, amely az enklávéban létrehozott adatblob. Bármely más entitás használhatja annak ellenőrzésére, hogy az ajánlat intel SGX-védelemmel® rendelkező alkalmazásból származik-e. Az idézet olyan jogcímeket tartalmaz, amelyek segítenek azonosítani az enklávé és a futó alkalmazás különböző tulajdonságait. Különösen a bizalmas főkönyv-csomópont tanúsítványában található nyilvános kulcs SHA-256 kivonatát tartalmazza. Egy bizalmas főkönyv-csomópont idézőjele egy funkcionális munkafolyamat API meghívásával kérhető le. A lekért idézet ezután érvényesíthető az itt leírt lépések szerint.

Következő lépések