Autenticazione client tramite catena di certificati CA

Usare la catena di certificati CA in Griglia di eventi di Azure per autenticare i client durante la connessione al servizio.

In questa guida vengono eseguite le attività seguenti:

  1. Caricare un certificato della CA, il certificato padre immediato del certificato client, nello spazio dei nomi .
  2. Configurare le impostazioni di autenticazione client.
  3. Connessione un client usando il certificato client firmato dal certificato CA caricato in precedenza.

Prerequisiti

  • È necessario uno spazio dei nomi di Griglia di eventi già creato.
  • È necessaria una catena di certificati CA: certificati client e certificato padre (in genere un certificato intermedio) usato per firmare i certificati client.

Generare un certificato client di esempio e un'identificazione personale

Se non si ha già un certificato, è possibile creare un certificato di esempio usando l'interfaccia della riga di comando del passaggio. Prendere in considerazione l'installazione manuale per Windows.

Dopo aver installato Step, in Windows PowerShell eseguire il comando per creare certificati radice e intermedi.

.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner

Uso dei file ca generati per creare il certificato per il client.

.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h

Caricare il certificato della CA nello spazio dei nomi

  1. In portale di Azure passare allo spazio dei nomi di Griglia di eventi.
  2. Nella sezione broker MQTT nella barra sinistra passare al menu Certificati CA.
  3. Selezionare + Certificato per avviare la pagina Carica certificato.
  4. Aggiungere il nome del certificato e cercare il certificato intermedio (.step/certs/intermediate_ca.crt) e selezionare Carica. È possibile caricare un file con estensione pem, cer o crt.

Screenshot showing the added CA certificate listed in the CA certificates page.

Nota

  • Il nome del certificato CA può essere lungo 3-50 caratteri.
  • Il nome del certificato CA può includere caratteri alfanumerici, trattini (-) e non spazi.
  • Il nome deve essere univoco per ogni spazio dei nomi.

Configurare le impostazioni di autenticazione client

  1. Passare alla pagina Client.
  2. Selezionare + Client per aggiungere un nuovo client. Se si vuole aggiornare un client esistente, è possibile selezionare il nome del client e aprire la pagina Aggiorna client.
  3. Nella pagina Crea client aggiungere il nome client, il nome dell'autenticazione client e lo schema di convalida dell'autenticazione del certificato client. In genere, il nome dell'autenticazione client si trova nel campo del nome soggetto per il certificato client.

Screenshot showing the client metadata using the subject matches the authentication name option.

  1. Selezionare il pulsante Crea per creare il client.

Schema dell'oggetto certificato di esempio

{
    "properties": {
        "description": "CA certificate description",
        "encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
    }
}

Configurazione dell'interfaccia della riga di comando di Azure

Usare i comandi seguenti per caricare/visualizzare/eliminare un certificato dell'autorità di certificazione (CA) nel servizio

Caricare il certificato radice o intermedio dell'autorità di certificazione

az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json

Mostra informazioni sul certificato

az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName

Eliminare il certificato

az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName

Passaggi successivi