MQTT-ügyfélhitelesítés tanúsítványok használatával
Az Azure Event Grid MQTT-közvetítője X.509-tanúsítványokkal támogatja az ügyfelek hitelesítését. Az X.509-tanúsítvány biztosítja azokat a hitelesítő adatokat, amellyel egy adott ügyfelet társíthat a bérlőhöz. Ebben a modellben a hitelesítés általában egyszer történik a munkamenet-létrehozás során. Ezután a rendszer feltételezi, hogy az azonos munkamenetet használó összes jövőbeli művelet ebből az identitásból származik.
A támogatott hitelesítési módok a következők:
- Hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok
- Önaláírt ügyféltanúsítvány – ujjlenyomat
- Microsoft Entra ID token
Ez a cikk a tanúsítványokra összpontosít. A Microsoft Entra ID-jogkivonatokkal történő hitelesítéssel kapcsolatos további információkért tekintse meg az ügyfél hitelesítését a Microsoft Entra ID-jogkivonattal.
Hitelesítésszolgáltató (CA) által aláírt tanúsítványok
Ebben a metódusban a rendszer egy fő vagy köztes X.509-tanúsítványt regisztrál a szolgáltatásban. Az ügyféltanúsítvány aláírásához használt főtanúsítványt vagy közvetítő tanúsítványt alapvetően először a szolgáltatásban kell regisztrálni.
Fontos
- Győződjön meg arról, hogy feltölti az ügyféltanúsítvány aláírásához használt főtanúsítványt vagy köztes tanúsítványt. Nem szükséges a teljes tanúsítványlánc feltöltése.
- Ha például gyökér-, köztes- és levéltanúsítvány-lánccal rendelkezik, győződjön meg arról, hogy feltölti a levél-/ügyféltanúsítványokat aláíró köztes tanúsítványt.
Az ügyfelek regisztrálása során azonosítania kell az ügyfél hitelesítési nevének tárolásához használt tanúsítványmezőt. A szolgáltatás megfelel a tanúsítvány hitelesítési nevének és az ügyfél hitelesítési nevének az ügyfél metaadataiban az ügyfél ellenőrzéséhez. A szolgáltatás az ügyféltanúsítványt is ellenőrzi annak ellenőrzésével, hogy a korábban regisztrált főtanúsítvány vagy közvetítő tanúsítvány alá van-e írva.
Önaláírt ügyféltanúsítvány – ujjlenyomat
Ebben a hitelesítési módszerben az ügyfélregisztrációs adatbázis tárolja annak a tanúsítványnak a pontos ujjlenyomatát, amelyet az ügyfél használni fog a hitelesítéshez. Amikor az ügyfél megpróbál csatlakozni a szolgáltatáshoz, a szolgáltatás ellenőrzi az ügyfelet az ügyféltanúsítványban bemutatott ujjlenyomat és az ügyfél metaadataiban tárolt ujjlenyomat összehasonlításával.
Feljegyzés
- Javasoljuk, hogy az ügyfél-hitelesítés nevét adja meg az ügyfél csatlakozási csomagjának felhasználónév mezőjében. Ezt a hitelesítési nevet és az ügyféltanúsítványt használva a szolgáltatás hitelesíteni tudja az ügyfelet.
- Ha nem adja meg a hitelesítési nevet a felhasználónév mezőben, konfigurálnia kell az ügyfél-hitelesítés nevének alternatív forrásmezőit a névtér hatókörében. A szolgáltatás az ügyfél-hitelesítés nevét keresi az ügyféltanúsítvány megfelelő mezőjében az ügyfélkapcsolat hitelesítéséhez.
A névtér hatókörében található konfigurációs lapon engedélyezheti az alternatív ügyfélhitelesítési névforrásokat, majd kiválaszthatja az ügyfél-hitelesítés nevét tartalmazó ügyféltanúsítvány-mezőket.
Fontos az ügyféltanúsítvány-mezők kiválasztásának sorrendje a névtér konfigurációs oldalán. A szolgáltatás ugyanabban a sorrendben keresi meg az ügyfél-hitelesítés nevét az ügyféltanúsítvány mezőiben.
Ha például először a Tanúsítvány DNS-beállítását, majd a Tulajdonos neve lehetőséget választja – az ügyfélkapcsolat hitelesítése közben
- a szolgáltatás először ellenőrzi az ügyféltanúsítvány tulajdonos alternatív neve DNS-mezőjét az ügyfél-hitelesítési névhez
- ha a DNS-mező üres, akkor a szolgáltatás ellenőrzi az ügyféltanúsítvány Tulajdonos neve mezőjét
- ha az ügyfélhitelesítés neve nem szerepel a két mező egyikében sem, az ügyfélkapcsolat le lesz tagadva
Az ügyfélhitelesítés mindkét módjában elvárjuk, hogy az ügyfélhitelesítés neve a kapcsolódási csomag felhasználónév mezőjében vagy az ügyféltanúsítvány egyik mezőjében legyen megadva.
Támogatott ügyféltanúsítvány-mezők az ügyfélhitelesítési név alternatív forrásához
Az alábbi mezők egyikével megadhatja az ügyfél-hitelesítés nevét az ügyféltanúsítványban.
| Hitelesítési név forrásbeállítása | Tanúsítványmező | Leírás |
|---|---|---|
| Tanúsítvány tulajdonosának neve | tls_client_auth_subject_dn | A tanúsítvány tulajdonosának megkülönböztető neve. |
| Tanúsítvány dns-ének | tls_client_auth_san_dns | A dNSName tanúsítvány san-bejegyzése. |
| Tanúsítvány URI-ja | tls_client_auth_san_uri | A uniformResourceIdentifier tanúsítvány san-bejegyzése. |
| Tanúsítvány IP-címe | tls_client_auth_san_ip | A tanúsítvány iPAddress SAN bejegyzésében található IPv4- vagy IPv6-cím. |
| Tanúsítvány e-mail-címe | tls_client_auth_san_email | A rfc822Name tanúsítvány san-bejegyzése. |
Következő lépések
- Megtudhatja, hogyan hitelesítheti az ügyfeleket tanúsítványlánc használatával
- Megtudhatja, hogyan hitelesítheti az ügyfelet a Microsoft Entra ID token használatával
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: