【发布时间】:2021-10-28 14:04:29
【问题描述】:
如何保护自托管网关上的 API 不被客户端证书未经授权使用?
关于这个主题的文档对我来说太不清楚了:
谢谢。
【问题讨论】:
标签: azure api azure-api-management client-certificates
【发布时间】:2021-10-28 14:04:29
【问题描述】:
- 您可以验证连接客户端提供的证书,并使用策略表达式根据所需值检查证书属性。
- 有关使用客户端证书保护对 API 后端服务的访问的信息,请参阅How to secure back-end services using client certificate authentication
- 要在 Developer、Basic、Standard 或 Premium 层中通过 HTTP/2 接收和验证客户端证书,您必须在 “自定义域”上启用 “协商客户端证书” 设置" 刀片。
- 要在消费层中接收和验证客户端证书,您必须在“自定义域”上开启“请求客户端证书”设置> 刀片。
- 验证客户端证书的策略- 使用 validate-client-certificate 策略验证客户端证书的一个或多个属性。
-
使用上下文变量验证证书 - 您还可以使用
contextvariable 创建策略表达式来检查客户端证书。 - 检查颁发者和主题
- 检查指纹
- 根据上传到 API 管理的证书检查指纹。 更多详细信息请参考secure APIs using client certificate authentication in API Management
【讨论】:
-
如果我的回答对您有帮助,您可以接受它作为答案(单击答案旁边的复选标记,将其从灰色切换为已填充。)。这对其他社区成员可能是有益的。谢谢
-
抱歉耽搁了。你的这个答案对我还不起作用。我按照您提到的步骤进行操作,但这不适用于自托管网关。我向自托管网关添加了自签名证书并添加了策略,但是当我尝试使用 curl 访问自托管网关时,连接被拒绝。根据我使用的 curl 版本,我会收到不同的错误消息:(
-
@high5,你有没有更多的运气?
-
@Simon 嗨,是的,解决方案是在创建证书期间提供正确的通用名称/dns 名称。之后,必须在自托管网关的网关面板中创建网关主机名。
解决方案是在创建证书期间提供正确的通用名称/dns 名称。之后,必须在自托管网关的网关面板中创建网关主机名,并添加上传的证书并选中复选框协商客户端证书。
【讨论】: