Uwierzytelnianie klienta przy użyciu łańcucha certyfikatów urzędu certyfikacji
Użyj łańcucha certyfikatów urzędu certyfikacji w usłudze Azure Event Grid, aby uwierzytelnić klientów podczas nawiązywania połączenia z usługą.
W tym przewodniku wykonasz następujące zadania:
- Przekaż certyfikat urzędu certyfikacji, bezpośredni certyfikat nadrzędny certyfikatu klienta do przestrzeni nazw.
- Skonfiguruj ustawienia uwierzytelniania klienta.
- Połączenie klienta przy użyciu certyfikatu klienta podpisanego przez wcześniej przekazany certyfikat urzędu certyfikacji.
Wymagania wstępne
- Potrzebna jest już przestrzeń nazw usługi Event Grid.
- Potrzebny jest łańcuch certyfikatów urzędu certyfikacji: certyfikaty klienta i certyfikat nadrzędny (zazwyczaj certyfikat pośredni), który był używany do podpisywania certyfikatów klienta.
Generowanie przykładowego certyfikatu klienta i odcisku palca
Jeśli nie masz jeszcze certyfikatu, możesz utworzyć przykładowy certyfikat przy użyciu interfejsu wiersza polecenia kroku. Rozważ ręczne instalowanie dla systemu Windows.
Po zainstalowaniu kroku w programie Windows PowerShell uruchom polecenie , aby utworzyć certyfikaty główne i pośrednie.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
Za pomocą plików urzędu certyfikacji wygenerowanych w celu utworzenia certyfikatu dla klienta.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
Przekazywanie certyfikatu urzędu certyfikacji do przestrzeni nazw
- W witrynie Azure Portal przejdź do przestrzeni nazw usługi Event Grid.
- W sekcji brokera MQTT w lewej kolejce przejdź do menu Certyfikaty urzędu certyfikacji.
- Wybierz pozycję + Certyfikat , aby uruchomić stronę Przekaż certyfikat.
- Dodaj nazwę certyfikatu i przejdź, aby znaleźć certyfikat pośredni (.step/certs/intermediate_ca.crt) i wybierz pozycję Przekaż. Możesz przekazać plik typu pem, cer lub crt.
Uwaga
- Nazwa certyfikatu urzędu certyfikacji może mieć długość od 3 do 50 znaków.
- Nazwa certyfikatu urzędu certyfikacji może zawierać alfanumeryczne, łącznik(-) i bez spacji.
- Nazwa musi być unikatowa dla przestrzeni nazw.
Konfigurowanie ustawień uwierzytelniania klienta
- Przejdź do strony Klienci.
- Wybierz pozycję + Klient , aby dodać nowego klienta. Jeśli chcesz zaktualizować istniejącego klienta, możesz wybrać nazwę klienta i otworzyć stronę Aktualizuj klienta.
- Na stronie Tworzenie klienta dodaj nazwę klienta, nazwę uwierzytelniania klienta i schemat weryfikacji uwierzytelniania certyfikatu klienta. Zazwyczaj nazwa uwierzytelniania klienta będzie znajdować się w polu nazwa podmiotu certyfikatu klienta.
- Wybierz przycisk Utwórz , aby utworzyć klienta.
Przykładowy schemat obiektu certyfikatu
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Konfiguracja interfejsu wiersza polecenia platformy Azure
Użyj następujących poleceń, aby przekazać/pokazać/usunąć certyfikat urzędu certyfikacji do usługi
Przekazywanie certyfikatu głównego lub pośredniego urzędu certyfikacji
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Pokaż informacje o certyfikacie
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Usuwanie certyfikatu
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName