Megosztás a következőn keresztül:

MQTT-ügyfélhitelesítés tanúsítványok használatával

  • Cikk

Az Azure Event Grid MQTT-közvetítője X.509-tanúsítványokkal támogatja az ügyfelek hitelesítését. Az X.509-tanúsítvány biztosítja azokat a hitelesítő adatokat, amellyel egy adott ügyfelet társíthat a bérlőhöz. Ebben a modellben a hitelesítés általában egyszer történik a munkamenet-létrehozás során. Ezután a rendszer feltételezi, hogy az azonos munkamenetet használó összes jövőbeli művelet ebből az identitásból származik.

A támogatott hitelesítési módok a következők:

  • Hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok
  • Önaláírt ügyféltanúsítvány – ujjlenyomat
  • Microsoft Entra ID token

Ez a cikk a tanúsítványokra összpontosít. A Microsoft Entra ID-jogkivonatokkal történő hitelesítéssel kapcsolatos további információkért tekintse meg az ügyfél hitelesítését a Microsoft Entra ID-jogkivonattal.

Hitelesítésszolgáltató (CA) által aláírt tanúsítványok

Ebben a metódusban a rendszer egy fő vagy köztes X.509-tanúsítványt regisztrál a szolgáltatásban. Az ügyféltanúsítvány aláírásához használt főtanúsítványt vagy közvetítő tanúsítványt alapvetően először a szolgáltatásban kell regisztrálni.

Fontos

  • Győződjön meg arról, hogy feltölti az ügyféltanúsítvány aláírásához használt főtanúsítványt vagy köztes tanúsítványt. Nem szükséges a teljes tanúsítványlánc feltöltése.
  • Ha például gyökér-, köztes- és levéltanúsítvány-lánccal rendelkezik, győződjön meg arról, hogy feltölti a levél-/ügyféltanúsítványokat aláíró köztes tanúsítványt.

Képernyőkép az ügyféltanúsítványok aláírásához használt legfelső szintű és köztes tanúsítványokkal rendelkező hitelesítésszolgáltatói tanúsítványok oldalról.

Az ügyfelek regisztrálása során azonosítania kell az ügyfél hitelesítési nevének tárolásához használt tanúsítványmezőt. A szolgáltatás megfelel a tanúsítvány hitelesítési nevének és az ügyfél hitelesítési nevének az ügyfél metaadataiban az ügyfél ellenőrzéséhez. A szolgáltatás az ügyféltanúsítványt is ellenőrzi annak ellenőrzésével, hogy a korábban regisztrált főtanúsítvány vagy közvetítő tanúsítvány alá van-e írva.

Képernyőkép az ügyfél metaadatairól az öt tanúsítványlánc-alapú érvényesítési sémával.

Önaláírt ügyféltanúsítvány – ujjlenyomat

Ebben a hitelesítési módszerben az ügyfélregisztrációs adatbázis tárolja annak a tanúsítványnak a pontos ujjlenyomatát, amelyet az ügyfél használni fog a hitelesítéshez. Amikor az ügyfél megpróbál csatlakozni a szolgáltatáshoz, a szolgáltatás ellenőrzi az ügyfelet az ügyféltanúsítványban bemutatott ujjlenyomat és az ügyfél metaadataiban tárolt ujjlenyomat összehasonlításával.

Képernyőkép az ügyfél metaadatairól ujjlenyomat-hitelesítési sémával.

Feljegyzés

  • Javasoljuk, hogy az ügyfél-hitelesítés nevét adja meg az ügyfél csatlakozási csomagjának felhasználónév mezőjében. Ezt a hitelesítési nevet és az ügyféltanúsítványt használva a szolgáltatás hitelesíteni tudja az ügyfelet.
  • Ha nem adja meg a hitelesítési nevet a felhasználónév mezőben, konfigurálnia kell az ügyfél-hitelesítés nevének alternatív forrásmezőit a névtér hatókörében. A szolgáltatás az ügyfél-hitelesítés nevét keresi az ügyféltanúsítvány megfelelő mezőjében az ügyfélkapcsolat hitelesítéséhez.

A névtér hatókörében található konfigurációs lapon engedélyezheti az alternatív ügyfélhitelesítési névforrásokat, majd kiválaszthatja az ügyfél-hitelesítés nevét tartalmazó ügyféltanúsítvány-mezőket.

A névtér konfigurációs lapjának képernyőképe az ügyfél-hitelesítés nevének alternatív forrásbeállításaival.

Fontos az ügyféltanúsítvány-mezők kiválasztásának sorrendje a névtér konfigurációs oldalán. A szolgáltatás ugyanabban a sorrendben keresi meg az ügyfél-hitelesítés nevét az ügyféltanúsítvány mezőiben.

Ha például először a Tanúsítvány DNS-beállítását, majd a Tulajdonos neve lehetőséget választja – az ügyfélkapcsolat hitelesítése közben

  • a szolgáltatás először ellenőrzi az ügyféltanúsítvány tulajdonos alternatív neve DNS-mezőjét az ügyfél-hitelesítési névhez
  • ha a DNS-mező üres, akkor a szolgáltatás ellenőrzi az ügyféltanúsítvány Tulajdonos neve mezőjét
  • ha az ügyfélhitelesítés neve nem szerepel a két mező egyikében sem, az ügyfélkapcsolat le lesz tagadva

Az ügyfélhitelesítés mindkét módjában elvárjuk, hogy az ügyfélhitelesítés neve a kapcsolódási csomag felhasználónév mezőjében vagy az ügyféltanúsítvány egyik mezőjében legyen megadva.

Támogatott ügyféltanúsítvány-mezők az ügyfélhitelesítési név alternatív forrásához

Az alábbi mezők egyikével megadhatja az ügyfél-hitelesítés nevét az ügyféltanúsítványban.

Hitelesítési név forrásbeállítása Tanúsítványmező Leírás
Tanúsítvány tulajdonosának neve tls_client_auth_subject_dn A tanúsítvány tulajdonosának megkülönböztető neve.
Tanúsítvány dns-ének tls_client_auth_san_dns A dNSName tanúsítvány san-bejegyzése.
Tanúsítvány URI-ja tls_client_auth_san_uri A uniformResourceIdentifier tanúsítvány san-bejegyzése.
Tanúsítvány IP-címe tls_client_auth_san_ip A tanúsítvány iPAddress SAN bejegyzésében található IPv4- vagy IPv6-cím.
Tanúsítvány e-mail-címe tls_client_auth_san_email A rfc822Name tanúsítvány san-bejegyzése.

Következő lépések