İstemci sertifikasını doğrulama
UYGULANANLAR: Tüm API Management katmanları
İstemci tarafından bir API Management örneğine sunulan bir sertifikanın validate-client-certificate
, bir veya daha fazla sertifika kimliği için belirtilen doğrulama kuralları ve konu veya veren gibi talepler ile eşleşmesini zorunlu kılmak için ilkeyi kullanın.
Bir istemci sertifikasının geçerli kabul edilmesi için, en üst düzey öğedeki öznitelikler tarafından tanımlanan tüm doğrulama kurallarıyla eşleşmesi ve tanımlı kimliklerden en az biri için tüm tanımlı taleplerle eşleşmesi gerekir.
Gelen sertifika özelliklerini istenen özelliklere göre denetlemek için bu ilkeyi kullanın. Bu durumlarda istemci sertifikalarının varsayılan doğrulamasını geçersiz kılmak için de bu ilkeyi kullanın:
- Yönetilen ağ geçidine istemci isteklerini doğrulamak için özel CA sertifikaları yüklediyseniz
- Kendi kendine yönetilen ağ geçidine yönelik istemci isteklerini doğrulamak için özel sertifika yetkilileri yapılandırdıysanız
Özel CA sertifikaları ve sertifika yetkilileri hakkında daha fazla bilgi için bkz . Azure API Management'ta özel CA sertifikası ekleme.
Not
İlkenin öğelerini ve alt öğelerini ilke bildiriminde sağlanan sırayla ayarlayın. API Management ilkelerini ayarlama veya düzenleme hakkında daha fazla bilgi edinin.
İlke bildirimi
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Özellikler
Adı | Açıklama | Zorunlu | Varsayılan |
---|---|---|---|
validate-revocation | Boole. Sertifikanın çevrimiçi iptal listesine göre doğrulanıp doğrulanmayacağını belirtir. İlke ifadelerine izin verilmez. | Hayır | true |
validate-trust | Boole. Zincirin güvenilir CA'ya başarıyla oluşturulamaması durumunda doğrulamanın başarısız olup olmadığını belirtir. İlke ifadelerine izin verilmez. | Hayır | true |
öncekini doğrulama | Boole. Değeri geçerli saate göre doğrular. İlke ifadelerine izin verilmez. | No | true |
validate-not-after | Boole. Değeri geçerli saate göre doğrular. İlke ifadelerine izin verilmez. | No | true |
ignore-error | Boole. İlkenin sonraki işleyiciye devam etmesi mi yoksa başarısız doğrulama sonrasında hataya mı atlaması gerektiğini belirtir. İlke ifadelerine izin verilmez. | Hayır | false |
Öğeler
Öğe | Açıklama | Gerekli |
---|---|---|
Kimlik | İstemci sertifikasında tanımlı taleplere sahip bir veya daha fazla identity öğe belirtmek için bu öğeyi ekleyin. |
Hayır |
kimlik öznitelikleri
Veri Akışı Adı | Açıklama | Zorunlu | Varsayılan |
---|---|---|---|
Parmak izi | Sertifika parmak izi. | Hayır | YOK |
seri numarası | Sertifika seri numarası. | Hayır | YOK |
ortak ad | Sertifika ortak adı (Konu dizesinin bir parçası). | Hayır | YOK |
subject | Konu dizesi. Ayırt Edici Ad biçimini izlemelidir. | Hayır | YOK |
dns-name | Konu Alternatif Adı talebi içindeki dnsName girişinin değeri. | Hayır | YOK |
veren-konu | Verenin konusu. Ayırt Edici Ad biçimini izlemelidir. | Hayır | YOK |
veren parmak izi | Veren parmak izi. | Hayır | YOK |
issuer-certificate-id | Verenin ortak anahtarını temsil eden mevcut sertifika varlığının tanımlayıcısı. Diğer veren özniteliklerle birbirini dışlar. | Hayır | YOK |
Kullanım
- İlke bölümleri: gelen
- İlke kapsamları: genel, çalışma alanı, ürün, API, işlem
- Ağ geçitleri: klasik, v2, tüketim, şirket içinde barındırılan
Örnek
Aşağıdaki örnek, bir istemci sertifikasını ilkenin varsayılan doğrulama kurallarıyla eşleşecek şekilde doğrular ve konu ve veren adının belirtilen değerlerle eşleşip eşleşmediğini denetler.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O=Contoso Corp., CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
İlgili ilkeler
İlgili içerik
İlkelerle çalışma hakkında daha fazla bilgi için bkz: