Autentikasi klien menggunakan rantai sertifikat CA
Gunakan rantai sertifikat CA di Azure Event Grid untuk mengautentikasi klien saat menyambungkan ke layanan.
Dalam panduan ini, Anda melakukan tugas-tugas berikut:
- Unggah sertifikat CA, sertifikat induk langsung sertifikat klien, ke namespace layanan.
- Mengonfigurasi pengaturan autentikasi klien.
- Koneksi klien menggunakan sertifikat klien yang ditandatangani oleh sertifikat CA yang diunggah sebelumnya.
Prasyarat
- Anda memerlukan Namespace Layanan Event Grid yang sudah dibuat.
- Anda memerlukan rantai sertifikat CA: Sertifikat klien dan sertifikat induk (biasanya sertifikat perantara) yang digunakan untuk menandatangani sertifikat klien.
Membuat sampel sertifikat klien dan thumbprint
Jika Anda belum memiliki sertifikat, Anda dapat membuat sertifikat sampel menggunakan langkah CLI. Pertimbangkan untuk menginstal secara manual untuk Windows.
Setelah Anda menginstal Langkah, di Windows PowerShell, jalankan perintah untuk membuat sertifikat akar dan menengah.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
Menggunakan file CA yang dihasilkan untuk membuat sertifikat untuk klien.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
Mengunggah sertifikat CA ke namespace layanan
- Di portal Azure, navigasikan ke namespace Layanan Event Grid Anda.
- Di bawah bagian broker MQTT di rel kiri, navigasikan ke menu sertifikat CA.
- Pilih + Sertifikat untuk meluncurkan halaman Unggah sertifikat.
- Tambahkan nama sertifikat dan telusuri untuk menemukan sertifikat perantara (.step/certs/intermediate_ca.crt) dan pilih Unggah. Anda dapat mengunggah file jenis .pem, .cer, atau .crt.
Catatan
- Panjang nama sertifikat CA bisa 3-50 karakter.
- Nama sertifikat CA dapat mencakup alfanumerik, tanda hubung(-) dan, tanpa spasi.
- Nama harus unik per namespace.
Mengonfigurasi pengaturan autentikasi klien
- Navigasi ke halaman Klien.
- Pilih + Klien untuk menambahkan klien baru. Jika Anda ingin memperbarui klien yang sudah ada, Anda dapat memilih nama klien dan membuka halaman Perbarui klien.
- Di halaman Buat klien, tambahkan nama klien, nama autentikasi klien, dan skema validasi autentikasi sertifikat klien. Biasanya nama autentikasi klien akan berada di bidang nama subjek untuk sertifikat klien.
- Pilih tombol Buat untuk membuat klien.
Contoh skema objek sertifikat
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Konfigurasi CLI Azure
Gunakan perintah berikut untuk mengunggah/menampilkan/menghapus sertifikat otoritas sertifikat (CA) ke layanan
Mengunggah akar otoritas sertifikat atau sertifikat perantara
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Perlihatkan informasi sertifikat
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Menghapus sertifikat
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk