Autenticazione client tramite catena di certificati CA
Usare la catena di certificati CA in Griglia di eventi di Azure per autenticare i client durante la connessione al servizio.
In questa guida vengono eseguite le attività seguenti:
- Caricare un certificato della CA, il certificato padre immediato del certificato client, nello spazio dei nomi .
- Configurare le impostazioni di autenticazione client.
- Connessione un client usando il certificato client firmato dal certificato CA caricato in precedenza.
- È necessario uno spazio dei nomi di Griglia di eventi già creato.
- È necessaria una catena di certificati CA: certificati client e certificato padre (in genere un certificato intermedio) usato per firmare i certificati client.
Se non si ha già un certificato, è possibile creare un certificato di esempio usando l'interfaccia della riga di comando del passaggio. Prendere in considerazione l'installazione manuale per Windows.
Dopo aver installato Step, in Windows PowerShell eseguire il comando per creare certificati radice e intermedi.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
Uso dei file ca generati per creare il certificato per il client.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
- In portale di Azure passare allo spazio dei nomi di Griglia di eventi.
- Nella sezione broker MQTT nella barra sinistra passare al menu Certificati CA.
- Selezionare + Certificato per avviare la pagina Carica certificato.
- Aggiungere il nome del certificato e cercare il certificato intermedio (.step/certs/intermediate_ca.crt) e selezionare Carica. È possibile caricare un file con estensione pem, cer o crt.
Nota
- Il nome del certificato CA può essere lungo 3-50 caratteri.
- Il nome del certificato CA può includere caratteri alfanumerici, trattini (-) e non spazi.
- Il nome deve essere univoco per ogni spazio dei nomi.
- Passare alla pagina Client.
- Selezionare + Client per aggiungere un nuovo client. Se si vuole aggiornare un client esistente, è possibile selezionare il nome del client e aprire la pagina Aggiorna client.
- Nella pagina Crea client aggiungere il nome client, il nome dell'autenticazione client e lo schema di convalida dell'autenticazione del certificato client. In genere, il nome dell'autenticazione client si trova nel campo del nome soggetto per il certificato client.
- Selezionare il pulsante Crea per creare il client.
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Usare i comandi seguenti per caricare/visualizzare/eliminare un certificato dell'autorità di certificazione (CA) nel servizio
Caricare il certificato radice o intermedio dell'autorità di certificazione
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Mostra informazioni sul certificato
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Eliminare il certificato
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName