Настройка проверки подлинности сертификата клиента в приложениях контейнеров Azure
Приложения контейнеров Azure поддерживают проверку подлинности сертификата клиента (также называемую взаимной проверкой подлинности TLS или mTLS), которая позволяет получить доступ к приложению-контейнеру с помощью двусторонней проверки подлинности. В этой статье показано, как настроить авторизацию сертификата клиента в приложениях контейнеров Azure.
При использовании сертификатов клиента сертификаты TLS обмениваются между клиентом и приложением контейнера для проверки подлинности удостоверения и шифрования трафика. Сертификаты клиентов часто используются в моделях безопасности "нулевого доверия" для авторизации клиентского доступа в организации.
Например, может потребоваться сертификат клиента для приложения контейнера, которое управляет конфиденциальными данными.
Контейнерные приложения принимают сертификаты клиента в формате PKCS12, выданные доверенным центром сертификации (ЦС), или самозаверяются.
Настройка авторизации сертификата клиента
Чтобы настроить поддержку сертификатов клиента, задайте clientCertificateMode свойство в шаблоне приложения контейнера.
Для свойства можно задать одно из следующих значений:
require: сертификат клиента необходим для всех запросов к приложению-контейнеру.accept: сертификат клиента является необязательным. Если сертификат клиента не указан, запрос по-прежнему принимается.ignore: сертификат клиента игнорируется.
Ingress передает сертификат клиента приложению-контейнеру, если require или accept задано.
Следующий пример шаблона ARM настраивает входящий трафик, чтобы требовать сертификат клиента для всех запросов к приложению-контейнеру.
{
"properties": {
"configuration": {
"ingress": {
"clientCertificateMode": "require"
}
}
}
}