Проверка подлинности клиента с помощью цепочки сертификатов ЦС
Используйте цепочку сертификатов ЦС в Сетка событий Azure для проверки подлинности клиентов при подключении к службе.
В этом руководстве выполняются следующие задачи:
- Отправьте сертификат ЦС, непосредственный родительский сертификат сертификата клиента в пространство имен.
- Настройте параметры проверки подлинности клиента.
- Подключение клиент с помощью сертификата клиента, подписанного ранее отправленным сертификатом ЦС.
Необходимые компоненты
- Вам нужно уже созданное пространство имен сетки событий.
- Вам нужна цепочка сертификатов ЦС: сертификаты клиента и родительский сертификат (обычно промежуточный сертификат), который использовался для подписи сертификатов клиента.
Создание примера сертификата клиента и отпечатка
Если у вас еще нет сертификата, можно создать пример сертификата с помощью интерфейса командной строки шага. Рассмотрите возможность установки вручную для Windows.
После установки шага в Windows PowerShell выполните команду, чтобы создать корневые и промежуточные сертификаты.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
Использование файлов ЦС, созданных для создания сертификата для клиента.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
Отправка сертификата ЦС в пространство имен
- В портал Azure перейдите к пространству имен Сетки событий.
- В разделе брокера MQTT в левой железной дороге перейдите в меню сертификатов ЦС.
- Выберите +Сертификат, чтобы запустить страницу "Отправить сертификат ".
- Добавьте имя сертификата и найдите промежуточный сертификат (.step/certs/intermediate_ca.crt) и нажмите кнопку "Отправить". Вы можете отправить файл типа PEM, CER или CRT.
Примечание.
- Имя сертификата ЦС может содержать 3–50 символов.
- Имя сертификата ЦС может включать буквенно-цифровые буквы, дефис(-) и без пробелов.
- Имя должно быть уникальным для каждого пространства имен.
Настройка параметров проверки подлинности клиента
- Перейдите на страницу "Клиенты".
- Выберите + Клиент , чтобы добавить новый клиент. Если вы хотите обновить существующий клиент, можно выбрать имя клиента и открыть страницу "Обновить клиент".
- На странице "Создание клиента" добавьте имя клиента, имя проверки подлинности клиента и схему проверки подлинности сертификата клиента. Обычно имя проверки подлинности клиента будет находиться в поле имени субъекта для сертификата клиента.
- Нажмите кнопку "Создать ", чтобы создать клиент.
Пример схемы объекта сертификата
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Настройка Azure CLI
Используйте следующие команды, чтобы отправить или показать или удалить сертификат центра сертификации (ЦС) в службу.
Отправка корневого или промежуточного сертификата центра сертификации
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Отображение сведений о сертификате
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Удаление сертификата
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName