Skydda serverdelstjänster med hjälp av klientcertifikatautentisering i Azure API Management

GÄLLER FÖR: Alla API Management-nivåer

Med API Management kan du skydda åtkomsten till serverdelstjänsten för ett API med hjälp av klientcertifikat och ömsesidig TLS-autentisering. Den här artikeln visar hur du hanterar certifikat i API Management med hjälp av Azure-portalen. Den förklarar också hur du konfigurerar ett API för att använda ett certifikat för att komma åt en serverdelstjänst.

Du kan också hantera API Management-certifikat med hjälp av API Management REST API.

Certifikatalternativ

API Management innehåller två alternativ för att hantera certifikat som används för att skydda åtkomsten till serverdelstjänster:

• Referera till ett certifikat som hanteras i Azure Key Vault.
• Lägg till en certifikatfil direkt i API Management.

Vi rekommenderar att du använder key vault-certifikat eftersom det förbättrar API Management-säkerheten:

• Certifikat som lagras i nyckelvalv kan återanvändas mellan tjänster.
• Detaljerade åtkomstprinciper kan tillämpas på certifikat som lagras i nyckelvalv.
• Certifikat som uppdateras i nyckelvalvet roteras automatiskt i API Management. Efter en uppdatering i nyckelvalvet uppdateras ett certifikat i API Management inom fyra timmar. Du kan också uppdatera certifikatet manuellt med hjälp av Azure-portalen eller via rest-API:et för hantering.

Förutsättningar

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

• Om du inte har skapat en API Management-instans ännu kan du läsa Skapa en API Management-tjänstinstans.

• Konfigurera klientcertifikatautentisering för serverdelstjänsten. Information om hur du konfigurerar certifikatautentisering i Azure App Service finns i Konfigurera ömsesidig TLS-autentisering i App Service.

• Se till att du har åtkomst till certifikatet och lösenordet för hantering i ett Azure-nyckelvalv eller ett certifikat som ska laddas upp till API Management-tjänsten. Certifikatet måste vara i PFX-format. Självsignerade certifikat tillåts.

  Om du använder ett självsignerat certifikat:

  • Installera betrodda rotcertifikat och mellanliggande CA-certifikat i DIN API Management-instans.

    Kommentar

    CA-certifikat för certifikatverifiering stöds inte på förbrukningsnivån.

  • Inaktivera validering av certifikatkedja. Se Inaktivera validering av certifikatkedjan för självsignerade certifikat senare i den här artikeln.

Förutsättningar för nyckelvalvintegration

Kommentar

För närvarande är den här funktionen inte tillgänglig på arbetsytor.

1. Om du inte redan har ett nyckelvalv skapar du ett. Information om hur du skapar ett nyckelvalv finns i Snabbstart: Skapa ett nyckelvalv med Hjälp av Azure-portalen.

2. Aktivera en systemtilldelad eller användartilldelad hanterad identitet i API Management.

Konfigurera åtkomst till nyckelvalv

1. Gå till ditt nyckelvalv i portalen.
2. I den vänstra menyn väljer du Åtkomstkonfiguration. Observera den behörighetsmodell som har konfigurerats.
3. Beroende på behörighetsmodellen konfigurerar du antingen en åtkomstprincip för nyckelvalvet eller Azure RBAC-åtkomst för en hanterad API Management-identitet.

Så här lägger du till en åtkomstprincip för key vault:

1. I den vänstra menyn väljer du Åtkomstprinciper.
2. På sidan Åtkomstprinciper väljer du + Skapa.
3. På fliken Behörigheter går du till Hemliga behörigheter, väljer Hämta och Lista och väljer sedan Nästa.
4. På fliken Huvudnamn väljer du Huvudnamn, söker efter resursnamnet för din hanterade identitet och väljer sedan Nästa. Om du använder en systemtilldelad identitet är namnet på din API Management-instans huvudprincipen.
5. Välj Nästa igen. På fliken Granska + skapa väljer du Skapa.

Information om hur du skapar ett certifikat i nyckelvalvet eller importerar ett certifikat till nyckelvalvet finns i Snabbstart: Ange och hämta ett certifikat från Azure Key Vault med azure-portalen.

Krav för Key Vault-brandvägg

Om Key Vault-brandväggen är aktiverad i nyckelvalvet måste du uppfylla följande krav:

• Du måste använda API Management-instansens systemtilldelade hanterade identitet för att få åtkomst till nyckelvalvet.

• I Key Vault-brandväggen aktiverar du alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen .

• Se till att din lokala klient-IP-adress tillåts komma åt nyckelvalvet tillfälligt medan du väljer ett certifikat eller en hemlighet som ska läggas till i Azure API Management. Mer information finns i Konfigurera nätverksinställningar för Azure Key Vault.

  När du har slutfört konfigurationen kan du blockera din klientadress i nyckelvalvsbrandväggen.

Krav för virtuella nätverk

Om API Management-instansen distribueras i ett virtuellt nätverk konfigurerar du även följande nätverksinställningar:

• Aktivera en tjänstslutpunkt till Key Vault i API Management-undernätet.
• Konfigurera en NSG-regel (network security group) för att tillåta utgående trafik till tjänsttaggar för AzureKeyVault och AzureActiveDirectory.

Mer information finns i Nätverkskonfiguration när du konfigurerar API Management i ett virtuellt nätverk.

Lägga till ett key vault-certifikat

Se Förutsättningar för Key Vault-integration.

Viktigt!

Om du vill lägga till ett key vault-certifikat i DIN API Management-instans måste du ha behörighet att lista hemligheter från nyckelvalvet.

Varning

När du använder ett key vault-certifikat i API Management bör du vara försiktig så att du inte tar bort certifikatet, nyckelvalvet eller den hanterade identitet som används för att komma åt nyckelvalvet.

Så här lägger du till ett key vault-certifikat i API Management:

1. I Azure-portalen går du till din API Management-instans.

2. Under Säkerhet väljer du Certifikat.

3. Välj Certifikat>+ Lägg till.

4. I ID anger du ett namn.

5. I Certifikat väljer du Nyckelvalv.

6. Ange identifieraren för ett nyckelvalvcertifikat eller välj Välj för att välja ett certifikat från ett nyckelvalv.

   Viktigt!

   Om du anger en nyckelvalvscertifikatidentifierare själv kontrollerar du att den inte har versionsinformation. Annars roteras inte certifikatet automatiskt i API Management efter en uppdatering i nyckelvalvet.

7. I Klientidentitet väljer du en systemtilldelad identitet eller en befintlig användartilldelad hanterad identitet. Mer information finns i Använda hanterade identiteter i Azure API Management.

   Kommentar

   Identiteten måste ha behörighet för att hämta och lista certifikat från nyckelvalvet. Om du inte redan har konfigurerat åtkomst till nyckelvalvet uppmanar API Management dig så att den automatiskt kan konfigurera identiteten med nödvändiga behörigheter.

8. Markera Lägga till.

   

9. Välj Spara.

Ladda upp ett certifikat

Så här laddar du upp ett klientcertifikat till API Management:

1. I Azure-portalen går du till din API Management-instans.

2. Under Säkerhet väljer du Certifikat.

3. Välj Certifikat>+ Lägg till.

4. I ID anger du ett namn.

5. I Certifikat väljer du Anpassad.

6. Bläddra för att välja .pfx-certifikatfilen och ange dess lösenord.

7. Markera Lägga till.

   

8. Välj Spara.

När certifikatet har laddats upp visas det i fönstret Certifikat . Om du har många certifikat bör du notera tumavtrycket för det certifikat som du just laddade upp. Du behöver det för att konfigurera ett API för att använda klientcertifikatet för gatewayautentisering.

Konfigurera ett API för att använda klientcertifikat för gatewayautentisering

1. I Azure-portalen går du till din API Management-instans.

2. Under API:er väljer du API:er.

3. Välj ett API i listan.

4. På fliken Design väljer du pennikonen i avsnittet Serverdel .

5. I Gateway-autentiseringsuppgifter väljer du Klientcertifikat och sedan ditt certifikat i listan Klientcertifikat .

6. Välj Spara.

   

Varning

Den här ändringen träder i kraft omedelbart. Anrop till API:ets operationer använder certifikatet för att autentisera på bakomliggande servern.

Tips

När ett certifikat har angetts för gatewayautentisering för serverdelstjänsten för ett API blir det en del av principen för det API:et och kan visas i principredigeraren.

Inaktivera validering av certifikatkedjan för självsignerade certifikat

Om du använder självsignerade certifikat måste du inaktivera validering av certifikatkedjan för att API Management ska kunna kommunicera med serverdelssystemet. Annars får du en 500-felkod. Om du vill inaktivera den här valideringen kan du använda New-AzApiManagementBackend PowerShell-cmdletarna (för en ny serverdel) eller Set-AzApiManagementBackend (för en befintlig serverdel) och ange parametern -SkipCertificateChainValidation till True:

$context = New-AzApiManagementContext -ResourceGroupName 'ContosoResourceGroup' -ServiceName 'ContosoAPIMService'
New-AzApiManagementBackend -Context  $context -Url 'https://contoso.com/myapi' -Protocol http -SkipCertificateChainValidation $true

Du kan också inaktivera validering av certifikatkedjan med hjälp av REST-API:et för serverdelen .

Ta bort ett klientcertifikat

Om du vill ta bort ett certifikat väljer du Ta bort på ellipsmenyn (...):

Viktigt!

Om certifikatet refereras till av några principer visas en varningsskärm. Om du vill ta bort certifikatet måste du först ta bort det från alla principer som har konfigurerats för att använda det.

Relaterat innehåll

• Så skyddar du API:er genom att autentisera klientcertifikat i API Management
• Se Så här lägger du till ett anpassat CA-certifikat i Azure API Management.
• Policys i API-hantering