Dela via

Klientautentisering med ca-certifikatkedja

  • Artikel

Använd CA-certifikatkedjan i Azure Event Grid för att autentisera klienter vid anslutning till tjänsten.

I den här guiden utför du följande uppgifter:

  1. Ladda upp ett CA-certifikat, det omedelbara överordnade certifikatet för klientcertifikatet, till namnområdet.
  2. Konfigurera klientautentiseringsinställningar.
  3. Anslut en klient med klientcertifikatet signerat av det tidigare uppladdade CA-certifikatet.

Förutsättningar

  • Du behöver ett Event Grid-namnområde som redan har skapats.
  • Du behöver en CA-certifikatkedja: Klientcertifikat och det överordnade certifikatet (vanligtvis ett mellanliggande certifikat) som användes för att signera klientcertifikaten.

Generera exempelklientcertifikat och tumavtryck

Om du inte redan har ett certifikat kan du skapa ett exempelcertifikat med hjälp av steg CLI. Överväg att installera manuellt för Windows.

När du har installerat Step kör du kommandot i Windows PowerShell för att skapa rotcertifikat och mellanliggande certifikat.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

Använda CA-filerna som genererats för att skapa certifikat för klienten.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

Ladda upp CA-certifikatet till namnområdet

  1. Gå till Event Grid-namnområdet i Azure-portalen.
  2. Gå till ca-certifikatmenyn under avsnittet MQTT-asynkron meddelandekö till vänster.
  3. Välj + Certifikat för att starta sidan Ladda upp certifikat.
  4. Lägg till certifikatnamnet och bläddra för att hitta mellanliggande certifikat (.step/certs/intermediate_ca.crt) och välj Ladda upp. Du kan ladda upp en fil av typen .pem, .cer eller .crt.

Screenshot showing the added CA certificate listed in the CA certificates page.

Kommentar

  • Certifikatutfärdarcertifikatets namn kan vara 3–50 tecken långt.
  • Certifikatutfärdarcertifikatets namn kan innehålla alfanumeriskt, bindestreck(-) och inga blanksteg.
  • Namnet måste vara unikt per namnområde.

Konfigurera inställningar för klientautentisering

  1. Gå till sidan Klienter.
  2. Välj + Klient för att lägga till en ny klient. Om du vill uppdatera en befintlig klient kan du välja klientnamnet och öppna sidan Uppdatera klient.
  3. På sidan Skapa klient lägger du till klientnamnet, klientautentiseringsnamnet och valideringsschemat för autentisering av klientcertifikat. Vanligtvis finns namnet på klientautentiseringen i ämnesnamnfältet för klientcertifikatet.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. Välj knappen Skapa för att skapa klienten.

Exempel på schema för certifikatobjekt

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Konfiguration av Azure CLI

Använd följande kommandon för att ladda upp/visa/ta bort ett certifikatutfärdarcertifikat (CA) till tjänsten

Ladda upp rotcertifikatutfärdare eller mellanliggande certifikat

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Visa certifikatinformation

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Ta bort certifikat

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Nästa steg