Valider le certificat client
S’APPLIQUE À : Tous les niveaux de Gestion des API
Utilisez la stratégie validate-client-certificate
pour faire en sorte qu’un certificat présenté par un client à une instance de gestion des API corresponde aux règles de validation et revendications spécifiées, comme l’objet ou émetteur pour une ou plusieurs identités de certificat.
Pour être considéré comme valide, un certificat client doit répondre à toutes les règles de validation définies par les attributs de l’élément de niveau supérieur et correspondre à toutes les revendications définies pour au moins une des identités définies.
Utilisez cette stratégie pour vérifier les propriétés de certificat entrant par rapport aux propriétés souhaitées. Utilisez également cette stratégie pour remplacer la validation par défaut des certificats clients dans les cas suivants :
- Si vous avez téléchargé des certificats d’autorité de certification personnalisés pour valider les demandes des clients auprès de la passerelle gérée
- Si vous avez configuré des autorités de certification personnalisées pour valider les demandes des clients auprès d’une passerelle auto-gérée
Pour plus d’informations sur les certificats d’autorité de certification personnalisés et les autorités de certification, consultez Guide pratique pour ajouter un certificat d’autorité de certification personnalisé dans la Gestion des API Azure.
Notes
Définissez les éléments enfants et de stratégie dans l’ordre fourni dans l’instruction de stratégie. En savoir plus sur comment définir ou modifier des stratégies du service Gestion des API.
Instruction de la stratégie
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Attributs
Nom | Description | Obligatoire | Valeur par défaut |
---|---|---|---|
validate-revocation | Booléenne. Spécifie si le certificat est validé par rapport à la liste de révocation en ligne. Les expressions de stratégie ne sont pas autorisées. | Non | true |
validate-trust | Booléenne. Spécifie si la validation doit échouer si la chaîne de cas ne peut pas être générée correctement pour une autorité de certification approuvée. Les expressions de stratégie ne sont pas autorisées. | Non | true |
validate-not-before | Propriété booléenne. Valide la valeur par rapport à l’heure actuelle. Les expressions de stratégie ne sont pas autorisées. | Aucune | true |
validate-not-after | Booléenne. Valide la valeur par rapport à l’heure actuelle. Les expressions de stratégie ne sont pas autorisées. | Aucune | true |
ignore-error | Booléenne. Spécifie si la stratégie doit aller au gestionnaire suivant ou passer à l’erreur en cas d’échec de la validation. Les expressions de stratégie ne sont pas autorisées. | Non | false |
Éléments
Élément | Description | Obligatoire |
---|---|---|
Identités | Ajoutez cet élément pour spécifier un ou plusieurs éléments identity avec des revendications définies sur le certificat client. |
Non |
attributs d’identité
Nom | Description | Obligatoire | Default |
---|---|---|---|
thumbprint | Empreinte du certificat. | Non | N/A |
serial-number | Numéro de série du certificat. | Non | N/A |
common-name | Nom commun du certificat (partie de la chaîne d’objet). | Non | N/A |
subject | Chaîne d’objet. Doit suivre le format du nom unique. | Non | N/A |
dns-name | Valeur de l’entrée dnsName à l’intérieur de l’autre nom de la revendication. | Non | N/A |
issuer-subject | Objet de l’émetteur. Doit suivre le format du nom unique. | Non | N/A |
issuer-thumbprint | Empreinte de l’émetteur. | Non | N/A |
issuer-certificate-id | Identificateur de l’entité de certificat existante représentant la clé publique de l’émetteur. S’exclut mutuellement avec les autres attributs de l’émetteur. | Non | N/A |
Usage
- Sections de la stratégie : inbound
- Étendues de la stratégie : global, espace de travail, produit, API, opération
- Passerelles : classiques, v2, consommation, auto-hébergées, espace de travail
Exemple
L’exemple suivant valide un certificat client pour qu’il corresponde aux règles de validation par défaut de la stratégie et vérifie si le nom de l’objet et de l’émetteur correspondent aux valeurs spécifiées.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O=Contoso Corp., CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
Stratégies connexes
Contenu connexe
Pour plus d’informations sur l’utilisation des stratégies, consultez :
- Tutoriel : Transformer et protéger votre API
- Référence de stratégie pour obtenir la liste complète des instructions et des paramètres de stratégie
- Expressions de stratégie
- Définir ou modifier des stratégies
- Réutilisation de configurations de stratégie
- Référentiel d’extrait de stratégie
- Kit de ressources des stratégies Gestion des API Azure
- Créer des stratégies à l’aide de Microsoft Copilot dans Azure