Uwierzytelnianie węzłów rejestru poufnego platformy Azure

Przykłady kodu i użytkownicy mogą uwierzytelniać poufne węzły rejestru platformy Azure.

Przykłady kodu

Podczas inicjowania przykłady kodu pobierają certyfikat węzła, wysyłając zapytanie do usługi tożsamości. Przykładowy kod pobiera certyfikat węzła przed wykonaniem zapytania do rejestru w celu pobrania oferty, która jest następnie weryfikowana przy użyciu plików binarnych Weryfikacja hosta. Jeśli weryfikacja zakończy się pomyślnie, przykładowy kod przejdzie do operacji rejestru.

Użytkownicy

Użytkownicy mogą zweryfikować autentyczność poufnych węzłów rejestru platformy Azure, aby potwierdzić, że rzeczywiście współdziałają z enklawą rejestru. Zaufanie do poufnych węzłów rejestru platformy Azure można utworzyć na kilka sposobów, co może być ułożone nawzajem, aby zwiększyć ogólny poziom ufności. W związku z tym kroki 1 i 2 są ważnymi mechanizmami tworzenia zaufania dla użytkowników enklawy rejestru poufnego platformy Azure w ramach początkowego uzgadniania protokołu TLS i uwierzytelniania w funkcjonalnych przepływach pracy. Ponadto trwałe połączenie klienta jest utrzymywane między klientem użytkownika a poufnym rejestrem.

1. Weryfikowanie węzła rejestru poufnego: węzeł poufnego rejestru jest weryfikowany przez wysłanie zapytania do usługi tożsamości hostowanej przez firmę Microsoft, która dostarcza certyfikat usługi, a tym samym pomaga sprawdzić, czy węzeł rejestru przedstawia certyfikat zatwierdzony/podpisany przez certyfikat usługi dla tego konkretnego wystąpienia. Dobrze znany urząd certyfikacji (CA) lub pośredni urząd certyfikacji podpisuje certyfikat serwera przy użyciu protokołu HTTPS opartego na infrastrukturze PKI. W przypadku poufnego rejestru platformy Azure certyfikat urzędu certyfikacji jest zwracany przez usługę tożsamości w postaci certyfikatu usługi. Jeśli ten certyfikat węzła nie jest podpisany przez zwrócony certyfikat usługi, połączenie klienta powinno zakończyć się niepowodzeniem (zgodnie z implementacją w przykładowym kodzie).

2. Weryfikowanie poufnej enklawy rejestru: poufny rejestr działa w enklawie Intel® SGX reprezentowanej przez zdalny raport zaświadczania (lub cudzysłów), obiekt blob danych wygenerowany wewnątrz tej enklawy. Można go użyć przez dowolną inną jednostkę, aby sprawdzić, czy cudzysłów został utworzony z aplikacji działającej z ochroną Intel® SGX. Cytat zawiera oświadczenia, które pomagają zidentyfikować różne właściwości enklawy i aplikację, która jest uruchomiona. W szczególności zawiera skrót SHA-256 klucza publicznego zawartego w certyfikacie węzła rejestru poufnego. Cytat z poufnego węzła rejestru można pobrać przez wywołanie funkcjonalnego interfejsu API przepływu pracy. Pobrany cudzysłów można następnie zweryfikować, wykonując kroki opisane tutaj.

Następne kroki

• Omówienie poufnego rejestru platformy Microsoft Azure
• Architektura poufnego rejestru platformy Azure