驗證 Azure 機密總賬節點
程式代碼範例和使用者可以驗證 Azure 機密總賬節點。
程式碼範例
初始化時,程式代碼範例會藉由查詢識別服務來取得節點憑證。 程式代碼範例會先擷取節點憑證,再查詢總帳以取得報價,然後使用主機驗證二進制檔進行驗證。 如果驗證成功,程式代碼範例會繼續進行總賬作業。
使用者
用戶可以驗證 Azure 機密總賬節點的真實性,以確認它們確實與總賬的記憶體保護區相互關聯。 您可以透過幾種方式在 Azure 機密總賬節點中建置信任,以彼此堆疊以增加整體信賴等級。 因此,步驟 1 和 2 是 Azure 機密總帳記憶體保護區使用者的重要信賴建置機制,作為功能工作流程中初始 TLS 交握和驗證的一部分。 此外,使用者用戶端與機密總賬之間會維護持續性用戶端連線。
驗證機密總帳節點:機密總賬節點是藉由查詢 Microsoft 所裝載的身分識別服務來驗證,此服務憑證可提供服務憑證,因此有助於確認總賬節點呈現由該服務憑證為該特定實例背書/簽署的憑證。 已知的證書頒發機構單位 (CA) 或中繼 CA 會使用 PKI 型 HTTPS 簽署伺服器的憑證。 在 Azure 機密總賬的情況下,CA 憑證會以服務憑證的形式由身分識別服務傳回。 如果傳回的服務憑證未簽署此節點憑證,用戶端連線應該會失敗(如範例程式代碼中實作)。
驗證機密總賬記憶體保護區:機密總帳會在 Intel® SGX 記憶體保護區中執行,此記憶體保護區是由遠端證明報告(或引號)表示,該記憶體保護區內產生的數據 Blob。 任何其他實體都可以使用它來驗證報價是否已經從使用 Intel® SGX 保護執行的應用程式產生。 引號包含可協助識別記憶體保護區的各種屬性及其正在執行的應用程式的宣告。 特別是,它包含機密總賬節點憑證中所含公鑰的SHA-256 哈希。 您可以藉由呼叫功能性工作流程 API 來擷取機密總賬節點的報價。 然後,您可以遵循這裡所述的步驟來驗證擷取的引號。