Gambaran umum autentikasi timbayar dengan Application Gateway

Autentikasi timbal balik, atau autentikasi klien, memungkinkan Application Gateway untuk mengautentikasi permintaan pengiriman klien. Biasanya, hanya klien yang mengautentikasi Application Gateway; autentikasi timah memungkinkan klien dan Application Gateway untuk saling mengautentikasi.

Catatan

Kami merekomendasikan untuk menggunakan TLS 1.2 dengan autentikasi timbal balik karena TLS 1.2 akan dimandatkan di masa mendatang.

Autentikasi timbal balik

Application Gateway mendukung autentikasi timah berbasis sertifikat tempat Anda dapat mengunggah sertifikat CA klien tepercaya ke Application Gateway, dan gateway akan menggunakan sertifikat tersebut untuk mengautentikasi klien yang mengirim permintaan ke gateway. Dengan meningkatnya kasus penggunaan IoT dan peningkatan persyaratan keamanan di seluruh industri, autentikasi timbal balik menyediakan cara bagi Anda untuk mengelola dan mengontrol klien mana yang dapat berbicara dengan Application Gateway Anda.

Untuk mengonfigurasi autentikasi timbal balik, sertifikat OS klien tepercaya harus diunggah sebagai bagian dari autentikasi klien profil SSL. Profil SSL kemudian perlu dikaitkan dengan pendengar untuk menyelesaikan konfigurasi autentikasi timbal balik. Harus selalu ada sertifikat OS akar di sertifikat klien yang Anda unggah. Anda juga dapat mengunggah rantai sertifikat, tetapi rantai harus menyertakan sertifikat OS akar selain sertifikat OS perantara sebanyak yang Anda inginkan. Ukuran maksimum setiap file yang diunggah harus 25 KB atau kurang.

Contohnya, jika sertifikat klien Anda berisi sertifikat OS akar, beberapa sertifikat OS perantara, dan sertifikat daun, bahwa sertifikat OS akar dan semua sertifikat OS perantara diunggah ke Application Gateway dalam satu file. Untuk informasi lebih lanjut tentang cara mengekstrak sertifikat OS klien tepercaya, lihat cara mengekstrak sertifikat OS klien tepercaya.

Jika Anda mengunggah rantai sertifikat dengan OS akar dan sertifikat OS menengah, rantai sertifikat harus diunggah sebagai file PEM atau CER ke gateway.

Penting

Pastikan Anda mengunggah seluruh rantai sertifikat OS klien tepercaya ke Application Gateway saat menggunakan autentikasi timbal balik.

Setiap profil SSL dapat mendukung hingga 100 rantai sertifikat CA klien tepercaya. Satu Application Gateway dapat mendukung total 200 rantai sertifikat CA klien tepercaya.

Catatan

• Autentikasi timbal balik hanya tersedia di Standard_v2 dan WAF_v2 SKU.
• Konfigurasi autentikasi Timah untuk pendengar protokol TLS (pratinjau) saat ini tersedia melalui REST API, PowerShell, dan CLI. Dukungan Portal Microsoft Azure akan segera hadir.

Sertifikat yang didukung untuk autentikasi timbal balik

Application Gateway mendukung sertifikat yang dikeluarkan dari otoritas sertifikat publik dan yang dibuat secara privat.

• Sertifikat CA yang dikeluarkan dari otoritas sertifikat terkenal: Sertifikat menengah dan akar umumnya ditemukan di penyimpanan sertifikat tepercaya dan memungkinkan koneksi tepercaya dengan sedikit atau tanpa konfigurasi tambahan pada perangkat.
• Sertifikat CA yang dikeluarkan dari otoritas sertifikat yang dibuat organisasi: Sertifikat ini biasanya dikeluarkan secara privat melalui organisasi Anda dan tidak dipercaya oleh entitas lain. Sertifikat menengah dan akar harus diimpor ke penyimpanan sertifikat tepercaya bagi klien untuk membangun kepercayaan rantai.

Catatan

Saat mengeluarkan sertifikat klien dari otoritas sertifikat yang mapan, pertimbangkan untuk bekerja dengan otoritas sertifikat untuk melihat apakah sertifikat perantara dapat dikeluarkan bagi organisasi Anda untuk mencegah autentikasi sertifikat klien lintas organisasi yang tidak disengaja.

Validasi autentikasi klien tambahan

Verifikasi sertifikat klien DN

Anda memiliki opsi untuk memverifikasi penerbit langsung sertifikat klien dan hanya mengizinkan Application Gateway untuk mempercayai penerbit tersebut. Opsi ini nonaktif secara default tetapi Anda dapat mengaktifkannya melalui Portal, PowerShell, atau Azure CLI.

Jika Anda memilih untuk mengaktifkan Application Gateway untuk memverifikasi penerbit langsung sertifikat klien, berikut cara menentukan DN penerbit sertifikat klien apa yang akan diekstrak dari sertifikat yang diunggah.

• Skenario 1: Rantai sertifikat meliputi: sertifikat akar - sertifikat perantara - sertifikat daun
  • Nama subjek sertifikat menengah adalah hasil yang diekstrak oleh Application Gateway sebagai penerbit sertifikat klien DN dan akan diverifikasi.
• Skenario 2: Rantai sertifikat meliputi: sertifikat akar - sertifikat menengah1 - sertifikat menengah2 - sertifikat daun
  • Nama subjek sertifikat menengah 2 akan diekstrak sebagai penerbit sertifikat klien DN dan akan diverifikasi.
• Skenario 3: Rantai sertifikat meliputi: sertifikat akar - sertifikat daun
  • Nama subjek sertifikat akar akan diekstrak dan digunakan sebagai penerbit sertifikat klien DN.
• Skenario 4: Beberapa rantai sertifikat dengan panjang yang sama dalam file yang sama. Rantai 1 meliputi: sertifikat akar - sertifikat menengah 1 - sertifikat daun. Rantai 2 meliputi: sertifikat akar - sertifikat menengah 2 - sertifikat daun.
  • Nama subjek sertifikat menengah 1 akan diekstrak sebagai penerbit sertifikat klien DN.
• Skenario 5: Beberapa rantai sertifikat dengan panjang yang berbeda dalam file yang sama. Rantai 1 meliputi: sertifikat akar - sertifikat menengah 1 - sertifikat daun. Rantai 2 meliputi sertifikat akar - sertifikat menengah 2 - sertifikat menengah 3 - sertifikat daun.
  • Nama subjek sertifikat menengah 3 akan diekstrak sebagai penerbit sertifikat klien DN.

Penting

Kami merekomendasikan untuk hanya mengunggah satu rantai sertifikat per file. Hal ini sangat penting jika Anda mengaktifkan verifikasi sertifikat klien DN. Dengan mengunggah beberapa rantai sertifikat dalam satu file, Anda akan berakhir dalam skenario empat atau lima dan dapat mengalami masalah di kemudian hari ketika sertifikat klien yang disajikan tidak cocok dengan penerbit sertifikat klien DN Application Gateway yang diekstrak dari rantai.

Untuk informasi lebih lanjut tentang cara mengekstrak rantai sertifikat OS klien tepercaya, lihat cara mengekstrak rantai sertifikat OS klien tepercaya.

Variabel server

Dengan autentikasi TLS bersama, ada variabel server tambahan yang dapat Anda gunakan untuk meneruskan informasi tentang sertifikat klien ke server backend di belakang Application Gateway. Untuk informasi lebih lanjut tentang variabel server yang tersedia dan cara menggunakannya, lihat variabel server.

Pencabutan Sertifikat

Ketika klien memulai koneksi ke Application Gateway yang dikonfigurasi dengan autentikasi TLS bersama, tidak hanya rantai sertifikat dan nama khusus penerbit divalidasi, tetapi status pencabutan sertifikat klien dapat diperiksa dengan OCSP (Protokol Status Sertifikat Online). Selama validasi, sertifikat yang disajikan oleh klien akan dicari melalui responden OCSP yang ditentukan yang ditentukan dalam ekstensi Authority Information Access (AIA). Jika sertifikat klien telah dicabut, gateway aplikasi akan merespons klien dengan kode dan alasan status HTTP 400. Jika sertifikat valid, permintaan akan terus diproses oleh gateway aplikasi dan diteruskan ke kumpulan backend yang ditentukan.

Pencabutan sertifikat klien dapat diaktifkan melalui REST API, ARM, Bicep, CLI, atau PowerShell.

Azure PowerShell

Untuk mengonfigurasi pemeriksaan pencabutan klien pada Application Gateway yang ada melalui Azure PowerShell, perintah berikut dapat direferensikan:

# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"

# Create new SSL Profile
$profile  = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw

# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP

# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw

Daftar semua referensi Azure PowerShell untuk Konfigurasi Autentikasi Klien di Application Gateway dapat ditemukan di sini:

• Set-AzApplicationGatewayClientAuthConfiguration
• New-AzApplicationGatewayClientAuthConfiguration

Azure CLI

# Update existing gateway's SSL Profile
az network application-gateway update -n ApplicationGateway01 -g ResourceGroup01 --ssl-profiles [0].client-auth-configuration.verify-client-revocation=OCSP

Daftar semua referensi Azure CLI untuk konfigurasi autentikasi klien di Application Gateway dapat ditemukan di sini:

• Azure CLI - Application Gateway

Portal Azure

dukungan portal Azure saat ini tidak tersedia.

Untuk memverifikasi status pencabutan OCSP telah dievaluasi untuk permintaan klien, log akses akan berisi properti yang disebut "sslClientVerify", dengan status respons OCSP.

Sangat penting bahwa responden OCSP sangat tersedia dan konektivitas jaringan antara Application Gateway dan responden dimungkinkan. Jika Application Gateway tidak dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari responden atau konektivitas jaringan yang ditentukan diblokir ke/dari responden, status pencabutan sertifikat akan gagal dan Application Gateway akan mengembalikan respons HTTP 400 ke klien yang meminta.

Catatan: Pemeriksaan OCSP divalidasi melalui cache lokal berdasarkan waktu nextUpdate yang ditentukan oleh respons OCSP sebelumnya. Jika cache OCSP belum diisi dari permintaan sebelumnya, respons pertama mungkin gagal. Setelah mencoba kembali klien, respons harus ditemukan di cache dan permintaan akan diproses seperti yang diharapkan.

Catatan

• Pemeriksaan pencabutan melalui CRL tidak didukung
• Pemeriksaan pencabutan klien diperkenalkan dalam API versi 2022-05-01

Langkah berikutnya

Setelah mempelajari tentang autentikasi timbal balik, buka Configure Application Gateway dengan autentikasi timbal balik di PowerShell untuk membuat Application Gateway menggunakan autentikasi timbal balik.