你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
对 Azure 机密账本节点进行身份验证
代码示例和用户可以对 Azure 机密账本节点进行身份验证。
代码示例
初始化时,代码示例会通过查询标识服务来获取节点证书。 该代码示例在查询账本以获取 Quote 之前检索节点证书,然后使用主机验证二进制文件对其进行验证。 如果验证成功,代码示例将继续执行账本操作。
用户
用户可验证 Azure 机密账本节点的真实性,确认它们确实正在与账本的 Enclave 交互。 可通过几种方式在 Azure 机密账本节点中建立信任,这些信任可叠加起来来提高整体置信度。 因此,步骤 1 和步骤 2 是 Azure 机密账本 Enclave 用户的重要置信度建立机制,作为功能工作流中初始 TLS 握手和身份验证的一部分。 此外,用户的客户端和机密账本之间会维护持久性客户端连接。
验证机密账本节点:通过查询 Microsoft 托管的标识服务来验证机密账本节点,该服务提供网络证书,因此有助于验证账本节点是否提供由该特定实例的服务证书认可/签名的证书。 使用基于 PKI 的 HTTPS 时,由已知的证书颁发机构 (CA) 或中间 CA 签署服务器的证书。 对于 Azure 机密账本,身份服务将以服务证书的形式返回 CA 证书。 如果此节点证书未由返回的服务证书签名,则客户端连接应该会失败(如示例代码中所实现)。
验证机密账本 Enclave:机密账本在由远程证明报告(或 Quote)表示的 Intel® SGX Enclave 中运行,远程证明报告(或 Quote)是在该 Enclave 中生成的数据 Blob。 任何其他实体都可以使用 Quote,以验证 Quote 是否已从在 Intel® SGX 的保护下运行的应用程序生成。 Quote 包含一些声明,这些声明有助于识别 Enclave 的各种属性及其正在运行的应用程序。 具体而言,它包含机密账本节点证书中所含公钥的 SHA-256 哈希值。 机密账本节点的 Quote 可以通过调用功能工作流 API 来检索。 然后,可以按照此处所述的步骤来验证检索到的 Quote。