分享方式:


在 Azure 容器應用程式中設定用戶端憑證驗證

Azure 容器應用程式支援用戶端憑證驗證 (也稱為相互 TLS 或 mTLS),允許透過雙向驗證存取容器應用程式。 本文說明如何在 Azure 容器應用程式中設定用戶端憑證授權。

使用用戶端憑證時,TLS 憑證會在用戶端與容器應用程式之間交換,以驗證身分識別並加密流量。 用戶端憑證通常用於「零信任」安全性模型,以授權組織內的用戶端存取。

例如,您可能想要針對管理敏感數據的容器應用程式要求客戶端憑證。

容器應用程式會接受 PKCS12 格式的用戶端憑證,這些憑證是由信任的憑證授權單位 (CA) 所簽發,或是自我簽署。

設定用戶端憑證授權

若要設定客戶端憑證的支援,請在容器應用程式範本中設定 clientCertificateMode 屬性。

該屬性可以設定為下列其中一個值:

  • require:容器應用程式的所有要求都需要用戶端憑證。
  • accept:用戶端憑證是選擇性的。 如果未提供用戶端憑證,仍會接受要求。
  • ignore:忽略用戶端憑證。

如果已設定 requireaccept,輸入會將用戶端憑證傳遞至容器應用程式。

下列 ARM 範本會將輸入設定為要求對容器應用程式的所有要求提供用戶端憑證。

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

後續步驟