Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
UYGULANANLAR: Tüm API Management katmanları
İstemci tarafından bir API Management örneğine sunulan bir sertifikanın validate-client-certificate , bir veya daha fazla sertifika kimliği için belirtilen doğrulama kuralları ve konu veya veren gibi talepler ile eşleşmesini zorunlu kılmak için ilkeyi kullanın.
Bir istemci sertifikasının geçerli kabul edilmesi için, en üst düzey öğedeki öznitelikler tarafından tanımlanan tüm doğrulama kurallarıyla eşleşmesi ve tanımlı kimliklerden en az biri için tüm tanımlı taleplerle eşleşmesi gerekir.
Gelen sertifika özelliklerini istenen özelliklere göre denetlemek için bu ilkeyi kullanın. Bu durumlarda istemci sertifikalarının varsayılan doğrulamasını geçersiz kılmak için de bu ilkeyi kullanın:
- Yönetilen ağ geçidine istemci isteklerini doğrulamak için özel CA sertifikaları yüklediyseniz
- Kendi kendine yönetilen ağ geçidine yönelik istemci isteklerini doğrulamak için özel sertifika yetkilileri yapılandırdıysanız
Özel CA sertifikaları ve sertifika yetkilileri hakkında daha fazla bilgi için bkz . Azure API Management'ta özel CA sertifikası ekleme.
Not
İlkenin öğelerini ve alt öğelerini ilke bildiriminde sağlanan sırayla ayarlayın. API Management ilkelerini ayarlama veya düzenleme hakkında daha fazla bilgi edinin.
İlke bildirimi
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Özellikler
| Adı | Açıklama | Zorunlu | Varsayılan |
|---|---|---|---|
| validate-revocation | Boole. Sertifikanın çevrimiçi iptal listesine göre doğrulanıp doğrulanmayacağını belirtir. İlke ifadelerine izin verilmez. | Hayır | true |
| validate-trust | Boole. Zincirin güvenilir CA'ya başarıyla oluşturulamaması durumunda doğrulamanın başarısız olup olmadığını belirtir. İlke ifadelerine izin verilmez. | Hayır | true |
| öncekini doğrulama | Boole. Değeri geçerli saate göre doğrular. İlke ifadelerine izin verilmez. | Hayır | true |
| validate-not-after | Boole. Değeri geçerli saate göre doğrular. İlke ifadelerine izin verilmez. | Hayır | true |
| ignore-error | Boole. İlkenin sonraki işleyiciye devam etmesi mi yoksa başarısız doğrulama sonrasında hataya mı atlaması gerektiğini belirtir. İlke ifadelerine izin verilmez. | Hayır | false |
Öğeler
| Öğe | Açıklama | Zorunlu |
|---|---|---|
| Kimlik | İstemci sertifikasında tanımlı taleplerle en fazla 10 identity alt öğe belirtmek için bu öğeyi ekleyin. |
Hayır |
kimlik öznitelikleri
| Adı | Açıklama | Zorunlu | Varsayılan |
|---|---|---|---|
| Parmak izi | Sertifika SHA-1 parmak izi. | Hayır | YOK |
| seri numarası | Sertifika seri numarası. | Hayır | YOK |
| ortak ad | Sertifika ortak adı (Konu dizesinin bir parçası). | Hayır | YOK |
| konu | Konu dizesi. "CN=MyName, OU=MyOrgUnit, C=US..." gibi virgülle ayrılmış ad özniteliklerinden oluşan Ayırt Edici Ad biçimini izlemelidir. | Hayır | YOK |
| dns-name | Konu Alternatif Adı talebi içindeki dnsName girişinin değeri. | Hayır | YOK |
| veren-konu | Verenin konusu. Ayırt Edici Ad biçimini izlemelidir. | Hayır | YOK |
| veren parmak izi | Veren SHA-1 parmak izi. | Hayır | YOK |
| issuer-certificate-id | Verenin ortak anahtarını temsil eden mevcut sertifika varlığının tanımlayıcısı. Diğer veren özniteliklerle birbirini dışlar. | Hayır | YOK |
Kullanım
- İlke bölümleri: gelen
- İlke kapsamları: genel, çalışma alanı, ürün, API, işlem
- Ağ geçitleri: klasik, v2, tüketim, şirket içinde barındırılan, çalışma alanı
Örnekler
Aşağıdaki örnek, bir istemci sertifikasını ilkenin varsayılan doğrulama kurallarıyla eşleşecek şekilde doğrular ve konu ve veren adının belirtilen değerlerle eşleşip eşleşmediğini denetler.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O="Contoso, Inc.", CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
Aşağıdaki örnek, konu parmak izi ve veren parmak izinin belirtilen değerlerle eşleşip eşleşmediğini belirterek daha katı bir doğrulama gerçekleştirir.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
thumbprint="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00"
issuer-thumbprint="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
</identities>
</validate-client-certificate>
İlgili ilkeler
İlgili içerik
İlkelerle çalışma hakkında daha fazla bilgi için bkz:
- Öğretici: API'nizi dönüştürme ve koruma
- İlke deyimlerinin ve ayarlarının tam listesi için ilke başvurusu
- İlke ifadeleri
- İlkeleri ayarlama veya düzenleme
- İlke yapılandırmalarını yeniden kullanma
- İlke kod parçacıkları deposu
- İlke oyun alanı deposu
- Azure API Management ilke araç seti
- Politikalar oluşturmak, açıklamak ve sorun gidermek için Copilot yardımı alın