Clientcertificaat valideren
VAN TOEPASSING OP: Alle API Management-lagen
Gebruik het validate-client-certificate beleid om af te dwingen dat een certificaat dat door een client aan een API Management-exemplaar wordt gepresenteerd, overeenkomt met de opgegeven validatieregels en claims, zoals onderwerp of verlener voor een of meer certificaatidentiteiten.
Om als geldig te worden beschouwd, moet een clientcertificaat overeenkomen met alle validatieregels die zijn gedefinieerd door de kenmerken op het element op het hoogste niveau en moeten alle gedefinieerde claims voor ten minste één van de gedefinieerde identiteiten overeenkomen.
Gebruik dit beleid om binnenkomende certificaateigenschappen te controleren op gewenste eigenschappen. Gebruik dit beleid ook om de standaardvalidatie van clientcertificaten in deze gevallen te overschrijven:
- Als u aangepaste CA-certificaten hebt geüpload om clientaanvragen naar de beheerde gateway te valideren
- Als u aangepaste certificeringsinstanties hebt geconfigureerd voor het valideren van clientaanvragen voor een zelfbeheerde gateway
Zie Een aangepast CA-certificaat toevoegen in Azure API Management voor meer informatie over aangepaste CA-certificaten en certificeringsinstanties.
Notitie
Stel de elementen en onderliggende elementen van het beleid in de volgorde in die in de beleidsverklaring is opgegeven. Meer informatie over het instellen of bewerken van API Management-beleid.
Beleidsinstructie
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Kenmerken
| Meetcriterium | Beschrijving | Vereist | Standaardinstelling |
|---|---|---|---|
| validatie-intrekking | Booleaans. Hiermee geeft u op of het certificaat wordt gevalideerd op basis van de onlineintrekkingslijst. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-trust | Booleaans. Hiermee geeft u op of de validatie mislukt in het geval keten niet kan worden opgebouwd naar een vertrouwde CA. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-not-before | Booleaans. Valideert de waarde op basis van de huidige tijd. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-not-after | Booleaans. Valideert de waarde op basis van de huidige tijd. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| ignore-error | Booleaans. Hiermee geeft u op of het beleid naar de volgende handler moet gaan of naar on-error moet gaan bij mislukte validatie. Beleidsexpressies zijn niet toegestaan. | Nee | false |
Elementen
| Element | Beschrijving | Vereist |
|---|---|---|
| identiteiten | Voeg dit element toe om een of meer identity elementen met gedefinieerde claims op het clientcertificaat op te geven. |
Nee |
identiteitskenmerken
| Name | Beschrijving | Vereist | Standaardinstelling |
|---|---|---|---|
| Vingerafdruk | Vingerafdruk van certificaat. | Nee | N.v.t. |
| serienummer | Serienummer van certificaat. | Nee | N.v.t. |
| algemene naam | Algemene certificaatnaam (onderdeel van de onderwerptekenreeks). | Nee | N.v.t. |
| subject | Tekenreeks voor onderwerp. Moet de notatie van DN-naam volgen. | Nee | N.v.t. |
| dns-name | De waarde van de dnsName-vermelding in de claim Alternatieve naam voor onderwerp. | Nee | N.v.t. |
| issuer-subject | Onderwerp van uitgever. Moet de notatie van DN-naam volgen. | Nee | N.v.t. |
| issuer-thumbprint | Vingerafdruk van verlener. | Nee | N.v.t. |
| issuer-certificate-id | Id van bestaande certificaatentiteit die de openbare sleutel van de verlener vertegenwoordigt. Wederzijds exclusief met andere verlenerkenmerken. | Nee | N.v.t. |
Gebruik
- Beleidssecties: inkomend
- Beleidsbereik: globaal, werkruimte, product, API, bewerking
- Gateways: klassiek, v2, verbruik, zelf-hostend, werkruimte
Opmerking
In het volgende voorbeeld wordt een clientcertificaat gevalideerd dat overeenkomt met de standaardvalidatieregels van het beleid en wordt gecontroleerd of de naam van het onderwerp en de verlener overeenkomen met de opgegeven waarden.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O=Contoso Corp., CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
Gerelateerd beleid
Gerelateerde inhoud
Zie voor meer informatie over het werken met beleid:
- Zelfstudie: Uw API transformeren en beveiligen
- Beleidsreferentie voor een volledige lijst met beleidsinstructies en hun instellingen
- Beleidsexpressies
- Beleid instellen of bewerken
- Beleidsconfiguraties opnieuw gebruiken
- Beleidsfragmentenopslagplaats
- Beleid ontwerpen met Behulp van Microsoft Copilot in Azure