Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O mTLS (Mutual Transport Layer Security) é uma extensão do protocolo TLS padrão que fornece autenticação mútua entre cliente e servidor. Os Aplicativos de Contêiner do Azure dão suporte à execução de aplicativos habilitados para mTLS para fornecer maior segurança em seus aplicativos.
Nos Aplicativos de Contêiner do Azure, todas as solicitações de entrada passam pelo Envoy antes de serem roteadas para o aplicativo de contêiner de destino. Quando você usa mTLS, o cliente troca certificados com o Envoy. Cada um destes certificados é inserido no cabeçalho X-Forwarded-Client-Cert, que é depois enviado para a aplicação.
Para criar um aplicativo mTLS em Aplicativos de Contêiner do Azure, você precisa:
- Configure os Aplicativos de Contêiner do Azure para exigir certificados de cliente de pares.
- Extraia
X.509certificados de solicitações.
Este artigo descreve como manipular certificados de handshake mTLS de mesmo nível extraindo o X.509 certificado do cliente.
Exigir certificados de cliente
Use as seguintes etapas para configurar seu aplicativo de contêiner para exigir certificados de cliente:
- No portal Azure, abra a sua aplicação container.
- No menu à esquerda, selecione Rede>Ingress.
- Em Ativar o ingress para aplicações que precisam de um endpoint HTTP ou TCP., ative Ingress.
- Para o tipo Ingress, selecione HTTP.
- Em Modo de certificado de cliente, selecione Exigir.
- Selecione Guardar para aplicar as alterações.
Para obter mais informações sobre como configurar a autenticação de certificado de cliente em Aplicativos de Contêiner do Azure, consulte Configurar autenticação de certificado de cliente em Aplicativos de Contêiner do Azure.
Extrair certificados X.509
Para extrair certificados X.509 do cabeçalho X-Forwarded-Client-Cert, analise o valor do cabeçalho no código da aplicação. Esse cabeçalho contém as informações do certificado do cliente quando o mTLS está habilitado. Os certificados são fornecidos em um formato de lista separada por ponto-e-vírgula, que inclui o hash, o certificado e a cadeia.
Aqui está o procedimento que você deseja seguir para extrair e analisar o certificado em seu aplicativo:
- Obtenha o cabeçalho
X-Forwarded-Client-Certdo pedido recebido. - Analise o valor do cabeçalho para extrair os detalhes do certificado.
- Coloque os certificados analisados no atributo de certificado padrão para validação ou uso posterior.
Uma vez analisados, você pode validar certificados e usá-los de acordo com as necessidades do seu aplicativo.
Exemplo
Nas aplicações Java, pode utilizar o filtro de autenticação X.509 reativo para mapear para o contexto de segurança as informações do utilizador contidas nos certificados. Para obter um exemplo completo de um aplicativo Java com mTLS em Aplicativos de Contêiner do Azure, consulte Aplicativo de Servidor mTLS em Aplicativos de Contêiner do Azure.