驗證 Azure 機密總帳節點
程式碼範例和使用者可以驗證 Azure 機密總帳節點。
程式碼範例
初始化時,程式碼範例會藉由查詢識別服務來取得節點憑證。 程式碼範例會先擷取節點憑證,再查詢總帳以取得引述,隨後使用主機驗證二進位檔驗證該引述。 如果驗證成功,程式碼範例就會繼續進行總帳作業。
使用者
使用者可以驗證 Azure 機密總帳節點的真確性,以確認這些節點確實與總帳的記憶體保護區互動。 您可以透過數種方式在 Azure 機密總帳節點中建置信任,而且可將其相互堆疊以提高整體信賴等級。 因此,步驟 1 和 2 對於 Azure 機密總帳記憶體保護區的使用者而言是重要的信賴建置機制,屬於功能工作流程中初始 TLS 交握和驗證的一部分。 此外,使用者用戶端與機密總帳之間會維護持續性的用戶端連線。
驗證機密總帳節點:驗證機密總帳節點時,會查詢 Microsoft 所裝載的身分識別服務,此服務提供服務憑證,因此有助於確認總帳節點是否出具由該執行個體的服務憑證背書/簽署的憑證。 已知的憑證授權單位 (CA) 或中繼 CA 會使用 PKI 型 HTTPS 簽署伺服器的憑證。 對於 Azure 機密總帳,CA 憑證會由身分識別服務以服務憑證的形式傳回。 如果此節點憑證未由傳回的服務憑證簽署,用戶端連線就會失敗 (如範例程式碼所實作)。
驗證機密總帳記憶體保護區:機密總帳會在 Intel® SGX 記憶體保護區中執行,以遠端證明報告 (或引述) 表示,這是記憶體保護區內產生的資料 Blob。 任何其他實體都可用它來確認引述是從使用 Intel® SGX 保護執行的應用程式產生的。 引述中包含一些宣告,有助於識別記憶體保護區的各種屬性及其所執行的應用程式。 特別是,它包含機密總帳節點憑證中所含公開金鑰的 SHA-256 雜湊。 機密總帳節點的引述可藉由呼叫功能工作流程 API 來擷取。 然後,您可以依照這裡所述的步驟來驗證擷取的引述。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應