Application Gateway ile karşılıklı kimlik doğrulamasına genel bakış

Karşılıklı kimlik doğrulaması veya istemci kimlik doğrulaması, Application Gateway'in istemci gönderme isteklerinin kimliğini doğrulamasını sağlar. Genellikle yalnızca istemci Application Gateway'in kimliğini doğrular; karşılıklı kimlik doğrulaması hem istemcinin hem de Application Gateway'in birbirinin kimliğini doğrulamasını sağlar.

Not

TlS 1.2 gelecekte zorunlu kılınacağı için karşılıklı kimlik doğrulaması ile TLS 1.2 kullanmanızı öneririz.

Karşılıklı kimlik doğrulaması

Application Gateway, güvenilen istemci CA sertifikalarını Application Gateway'e yükleyebileceğiniz sertifika tabanlı karşılıklı kimlik doğrulamasını destekler ve ağ geçidi, ağ geçidine istek gönderen istemcinin kimliğini doğrulamak için bu sertifikayı kullanır. IoT kullanım durumlarının artması ve sektörler arasında artan güvenlik gereksinimleriyle birlikte karşılıklı kimlik doğrulaması, Application Gateway'inizle hangi istemcilerin konuşabileceğini yönetmenize ve denetlemenize olanak tanır.

Karşılıklı kimlik doğrulamasını yapılandırmak için, ssl profilinin istemci kimlik doğrulaması bölümünün bir parçası olarak güvenilen bir istemci CA sertifikasının karşıya yüklenmesi gerekir. Ardından ssl profilinin karşılıklı kimlik doğrulaması yapılandırmasını tamamlamak için bir dinleyiciyle ilişkilendirilmesi gerekir. Karşıya yüklediğiniz istemci sertifikasında her zaman bir kök CA sertifikası olmalıdır. Sertifika zincirini de karşıya yükleyebilirsiniz, ancak zincirin istediğiniz kadar ara CA sertifikasına ek olarak bir kök CA sertifikası içermesi gerekir. Karşıya yüklenen her dosyanın boyutu üst sınırı 25 KB veya daha az olmalıdır.

Örneğin, istemci sertifikanız bir kök CA sertifikası, birden çok ara CA sertifikası ve yaprak sertifika içeriyorsa, kök CA sertifikasının ve tüm ara CA sertifikalarının tek bir dosyada Application Gateway'e yüklendiğinden emin olun. Güvenilen istemci CA sertifikasını ayıklama hakkında daha fazla bilgi için bkz . Güvenilen istemci CA sertifikalarını ayıklama.

Kök CA ve ara CA sertifikalarına sahip bir sertifika zinciri yüklüyorsanız, sertifika zincirinin ağ geçidine PEM veya CER dosyası olarak yüklenmesi gerekir.

Önemli

Karşılıklı kimlik doğrulaması kullanırken güvenilen istemci CA sertifika zincirinin tamamını Application Gateway'e yüklediğinizden emin olun.

Her SSL profili en fazla 100 güvenilen istemci CA sertifika zincirini destekleyebilir. Tek bir Application Gateway, toplam 200 güvenilen istemci CA sertifika zincirini destekleyebilir.

Not

• Karşılıklı kimlik doğrulaması yalnızca Standard_v2 ve WAF_v2 SKU'larında kullanılabilir.
• TLS protokol dinleyicileri için Karşılıklı kimlik doğrulaması yapılandırması (önizleme) şu anda REST API, PowerShell ve CLI aracılığıyla kullanılabilir. Azure Portal desteği yakında sunulacaktır.

Karşılıklı kimlik doğrulaması için desteklenen sertifikalar

Application Gateway hem genel hem de özel olarak oluşturulmuş sertifika yetkililerinden verilen sertifikaları destekler.

• İyi bilinen sertifika yetkililerinden verilen CA sertifikaları: Ara ve kök sertifikalar genellikle güvenilen sertifika depolarında bulunur ve cihazda çok az ek yapılandırma olmadan güvenilen bağlantıları etkinleştirir.
• Kuruluş tarafından oluşturulan sertifika yetkililerinden verilen CA sertifikaları: Bu sertifikalar genellikle kuruluşunuz aracılığıyla özel olarak verilir ve diğer varlıklar tarafından güvenilmez. İstemcilerin zincir güveni oluşturması için ara ve kök sertifikaların güvenilen sertifika depolarına aktarılması gerekir.

Not

İyi kurulmuş sertifika yetkililerinden istemci sertifikaları verilirken, yanlışlıkla kuruluşlar arası istemci sertifikası kimlik doğrulamasını önlemek amacıyla kuruluşunuz için bir ara sertifikanın sağlanabilir olup olmadığını görmek için sertifika yetkilisiyle çalışmayı göz önünde bulundurun.

Ek istemci kimlik doğrulaması doğrulaması

İstemci sertifikası DN'lerini doğrulama

İstemci sertifikasının anında verenini doğrulama ve yalnızca Application Gateway'in bu verene güvenmesine izin verme seçeneğiniz vardır. Bu seçenek varsayılan olarak kapalıdır, ancak portal, PowerShell veya Azure CLI aracılığıyla etkinleştirebilirsiniz.

Application Gateway'i istemci sertifikasının anında verenini doğrulamak için etkinleştirmeyi seçerseniz, karşıya yüklenen sertifikalardan hangi istemci sertifikası veren DN'nin ayıklanacağı şu şekilde belirlenir.

• Senaryo 1: Sertifika zinciri şunları içerir: kök sertifika - ara sertifika - yaprak sertifika
  • Ara sertifikanın konu adı, Application Gateway'in istemci sertifikası veren DN olarak ayıklayıp doğrulanacağı addır.
• Senaryo 2: Sertifika zinciri şunları içerir: kök sertifika - ara1 sertifika - ara2 sertifika - yaprak sertifika
  • Ara2 sertifikasının konu adı, istemci sertifikası veren DN olarak ayıklanan ve doğrulanacak olan addır.
• Senaryo 3: Sertifika zinciri şunları içerir: kök sertifika - yaprak sertifika
  • Kök sertifikanın konu adı ayıklanır ve istemci sertifikası veren DN olarak kullanılır.
• Senaryo 4: Aynı dosyada aynı uzunlukta birden çok sertifika zinciri. Zincir 1 şunları içerir: kök sertifika - ara1 sertifika - yaprak sertifika. Zincir 2 şunları içerir: kök sertifika - ara2 sertifikası - yaprak sertifika.
  • Ara1 sertifikasının konu adı, istemci sertifikası veren DN olarak ayıklanır.
• Senaryo 5: Aynı dosyada farklı uzunluklarda birden çok sertifika zinciri. Zincir 1 şunları içerir: kök sertifika - ara1 sertifika - yaprak sertifika. Zincir 2 kök sertifika - ara2 sertifikası - ara3 sertifika - yaprak sertifika içerir.
  • Ara3 sertifikasının konu adı, istemci sertifikası veren DN olarak ayıklanır.

Önemli

Dosya başına yalnızca bir sertifika zincirini karşıya yüklemenizi öneririz. Bu, özellikle istemci sertifikası DN'sini doğrulamayı etkinleştirirseniz önemlidir. Bir dosyaya birden çok sertifika zinciri yükleyerek, dört veya beş numaralı senaryoyla karşılaşırsınız ve sunulan istemci sertifikası zincirlerden ayıklanan istemci sertifika veren DN Application Gateway ile eşleşmediğinde daha sonra sorunlarla karşılaşabilirsiniz.

Güvenilen istemci CA sertifika zincirlerini ayıklama hakkında daha fazla bilgi için bkz . Güvenilen istemci CA sertifika zincirlerini ayıklama.

Sunucu değişkenleri

Karşılıklı TLS kimlik doğrulamasıyla, istemci sertifikası hakkındaki bilgileri Application Gateway'in arkasındaki arka uç sunucularına geçirmek için kullanabileceğiniz ek sunucu değişkenleri vardır. Hangi sunucu değişkenlerinin kullanılabilir olduğu ve bunların nasıl kullanılacağı hakkında daha fazla bilgi için sunucu değişkenlerine göz atın.

Sertifika İptali

İstemci karşılıklı TLS kimlik doğrulamasıyla yapılandırılmış bir Application Gateway bağlantısı başlattığında, sertifika zincirinin ve verenin ayırt edici adının doğrulanmasıyla kalmaz, aynı zamanda istemci sertifikasının iptal durumu OCSP (Çevrimiçi Sertifika Durum Protokolü) ile denetlenebilir. Doğrulama sırasında istemci tarafından sunulan sertifika, Yetkili Bilgi Erişimi (AIA) uzantısında tanımlanan tanımlı OCSP yanıtlayıcısı aracılığıyla aranacaktır. İstemci sertifikasının iptal edilmiş olması durumunda, uygulama ağ geçidi http 400 durum kodu ve nedeni ile istemciye yanıt verir. Sertifika geçerliyse, istek uygulama ağ geçidi tarafından işlenip tanımlanan arka uç havuzuna iletilmeye devam eder.

İstemci sertifikası iptali REST API, ARM, Bicep, CLI veya PowerShell aracılığıyla etkinleştirilebilir.

Azure PowerShell

Azure PowerShell aracılığıyla mevcut bir Application Gateway'de istemci iptal denetimini yapılandırmak için aşağıdaki komutlara başvurulabilir:

# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"

# Create new SSL Profile
$profile  = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw

# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP

# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw

Application Gateway'de İstemci Kimlik Doğrulaması Yapılandırması için tüm Azure PowerShell başvurularının listesini burada bulabilirsiniz:

• Set-AzApplicationGatewayClientAuthConfiguration
• New-AzApplicationGatewayClientAuthConfiguration

Azure CLI

# Update existing gateway's SSL Profile
az network application-gateway update -n ApplicationGateway01 -g ResourceGroup01 --ssl-profiles [0].client-auth-configuration.verify-client-revocation=OCSP

Application Gateway'de istemci kimlik doğrulaması yapılandırması için tüm Azure CLI başvurularının listesini burada bulabilirsiniz:

• Azure CLI - Application Gateway

Azure portalı

Azure portal desteği şu anda kullanılamıyor.

OCSP iptal durumunun istemci isteği için değerlendirildiğini doğrulamak için, erişim günlükleri OCSP yanıtının durumuyla birlikte "sslClientVerify" adlı bir özellik içerir.

OCSP yanıtlayıcısının yüksek oranda kullanılabilir olması ve Application Gateway ile yanıtlayıcı arasında ağ bağlantısının mümkün olması kritik önem taşır. Application Gateway'in tanımlı yanıtlayıcının tam etki alanı adını (FQDN) çözümleyememesi veya yanıtlayana/yanıtlayıcıdan ağ bağlantısının engellenmesi durumunda sertifika iptal durumu başarısız olur ve Application Gateway istekte bulunan istemciye 400 HTTP yanıtı döndürür.

Not: OCSP denetimleri, önceki bir OCSP yanıtı tarafından tanımlanan nextUpdate zamanına göre yerel önbellek aracılığıyla doğrulanır. OCSP önbelleği önceki bir istekten doldurulmadıysa, ilk yanıt başarısız olabilir. İstemci yeniden denendikten sonra yanıt önbellekte bulunmalıdır ve istek beklendiği gibi işlenir.

Notlar

• CRL aracılığıyla iptal denetimi desteklenmiyor
• İstemci iptal denetimi API sürüm 2022-05-01'de kullanıma sunulmuştur

Sonraki adımlar

Karşılıklı kimlik doğrulaması hakkında bilgi edindikten sonra, karşılıklı kimlik doğrulaması kullanarak Application Gateway oluşturmak için PowerShell'de Application Gateway'i karşılıklı kimlik doğrulaması ile yapılandırma bölümüne gidin.