Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare la catena di certificati CA in Griglia di eventi di Azure per autenticare i client durante la connessione al servizio.
In questa guida vengono eseguite le attività seguenti:
- Caricare un certificato CA, il certificato padre immediato del certificato client, nello spazio dei nomi.
- Configurare le impostazioni di autenticazione client.
- Collegare un client utilizzando il certificato del client firmato dal certificato CA precedentemente caricato.
Prerequisiti
- È necessario uno spazio dei nomi di Griglia di eventi già creato.
- È necessaria una catena di certificati CA: certificati client e certificato padre (in genere un certificato intermedio) usato per firmare i certificati client.
Generare un certificato client di esempio e un'impronta digitale
Se non si ha già un certificato, è possibile creare un certificato di esempio usando il step CLI. Prendere in considerazione l'installazione manuale per Windows.
- Dopo aver installato Step, in Windows PowerShell eseguire il comando per creare certificati radice e intermedi.
.\step ca init --deployment-type standalone --name MqttAppSamplesCA --dns localhost --address 127.0.0.1:443 --provisioner MqttAppSamplesCAProvisioner
- Uso dei file ca generati per creare il certificato per il client.
.\step certificate create client1-authnID client1-authnID.pem client1-authnID.key --ca .step/certs/intermediate_ca.crt --ca-key .step/secrets/intermediate_ca_key --no-password --insecure --not-after 2400h
- Per visualizzare l'impronta digitale, eseguire il comando 'Step'.
step certificate fingerprint client1-authn-ID.pem
Caricare il certificato della CA nello spazio dei nomi
- Passare allo spazio dei nomi della Griglia di eventi nel portale di Azure.
- Nella sezione broker MQTT nella barra sinistra passare al menu Certificati CA.
- Selezionare + Certificato per accedere alla pagina Carica certificato.
- Aggiungere il nome del certificato e cercare il certificato intermedio (.step/certs/intermediate_ca.crt) e selezionare Carica. È possibile caricare un file con estensione pem, .cer o crt.
Nota
- Il nome del certificato CA può essere lungo 3-50 caratteri.
- Il nome del certificato CA può includere caratteri alfanumerici, trattini (-) e non spazi.
- Il nome deve essere univoco per ogni spazio dei nomi.
Configurare le impostazioni di autenticazione client
- Passare alla pagina Clienti.
- Selezionare + Client per aggiungere un nuovo client. Se si vuole aggiornare un client esistente, è possibile selezionare il nome del client e aprire la pagina Aggiorna client.
- Nella pagina Crea cliente, aggiungere il nome cliente, il nome autenticazione cliente e lo schema di convalida dell'autenticazione con certificato cliente. In genere, il nome dell'autenticazione del client si troverebbe nel campo del nome del soggetto nel certificato del client.
- Selezionare il pulsante Crea per creare il client.
Schema dell'oggetto certificato di esempio
{
"properties": {
"description": "CA certificate description",
"encodedCertificate": "-----BEGIN CERTIFICATE-----`Base64 encoded Certificate`-----END CERTIFICATE-----"
}
}
Configurazione dell'interfaccia della riga di comando di Azure
Usare i comandi seguenti per caricare/visualizzare/eliminare un certificato dell'autorità di certificazione (CA) nel servizio
Caricare il certificato radice o intermedio dell'autorità di certificazione
az eventgrid namespace ca-certificate create -g myRG --namespace-name myNS -n myCertName --certificate @./resources/ca-cert.json
Mostra informazioni sul certificato
az eventgrid namespace ca-certificate show -g myRG --namespace-name myNS -n myCertName
Eliminare il certificato
az eventgrid namespace ca-certificate delete -g myRG --namespace-name myNS -n myCertName