Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Alle API Management-lagen
Gebruik het validate-client-certificate beleid om af te dwingen dat een certificaat dat door een client aan een API Management-exemplaar wordt gepresenteerd, overeenkomt met de opgegeven validatieregels en claims, zoals onderwerp of verlener voor een of meer certificaatidentiteiten.
Om als geldig te worden beschouwd, moet een clientcertificaat overeenkomen met alle validatieregels die zijn gedefinieerd door de kenmerken op het element op het hoogste niveau en moeten alle gedefinieerde claims voor ten minste één van de gedefinieerde identiteiten overeenkomen.
Gebruik dit beleid om binnenkomende certificaateigenschappen te controleren op gewenste eigenschappen. Gebruik dit beleid ook om de standaardvalidatie van clientcertificaten in deze gevallen te overschrijven:
- Als u aangepaste CA-certificaten hebt geüpload om clientaanvragen naar de beheerde gateway te valideren
- Als u aangepaste certificeringsinstanties hebt geconfigureerd voor het valideren van clientaanvragen voor een zelfbeheerde gateway
Zie Een aangepast CA-certificaat toevoegen in Azure API Management voor meer informatie over aangepaste CA-certificaten en certificeringsinstanties.
Notitie
Stel de elementen en onderliggende elementen van het beleid in de volgorde in die in de beleidsverklaring is opgegeven. Meer informatie over het instellen of bewerken van API Management-beleid.
Beleidsinstructie
<validate-client-certificate
validate-revocation="true | false"
validate-trust="true | false"
validate-not-before="true | false"
validate-not-after="true | false"
ignore-error="true | false">
<identities>
<identity
thumbprint="certificate thumbprint"
serial-number="certificate serial number"
common-name="certificate common name"
subject="certificate subject string"
dns-name="certificate DNS name"
issuer-subject="certificate issuer"
issuer-thumbprint="certificate issuer thumbprint"
issuer-certificate-id="certificate identifier"/>
</identities>
</validate-client-certificate>
Kenmerken
| Meetcriterium | Beschrijving | Vereist | Standaardinstelling |
|---|---|---|---|
| validatie-intrekking | Booleaans. Hiermee geeft u op of het certificaat wordt gevalideerd op basis van de onlineintrekkingslijst. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-trust | Booleaans. Hiermee geeft u op of de validatie mislukt in het geval keten niet kan worden opgebouwd naar een vertrouwde CA. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-not-before | Booleaans. Valideert de waarde op basis van de huidige tijd. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| validate-not-after | Booleaans. Valideert de waarde op basis van de huidige tijd. Beleidsexpressies zijn niet toegestaan. | Nee | true |
| ignore-error | Booleaans. Hiermee geeft u op of het beleid naar de volgende handler moet gaan of naar on-error moet gaan bij mislukte validatie. Beleidsexpressies zijn niet toegestaan. | Nee | false |
Elementen
| Onderdeel | Beschrijving | Vereist |
|---|---|---|
| identiteiten | Voeg dit element toe om maximaal 10 identity subelementen met gedefinieerde claims op het clientcertificaat op te geven. |
Nee |
identiteitskenmerken
| Meetcriterium | Beschrijving | Vereist | Standaardinstelling |
|---|---|---|---|
| Vingerafdruk | Sha-1-vingerafdruk van certificaat. | Nee | N.v.t. |
| serienummer | Serienummer van certificaat. | Nee | N.v.t. |
| algemene naam | Algemene certificaatnaam (onderdeel van de onderwerptekenreeks). | Nee | N.v.t. |
| Onderwerp | Tekenreeks voor onderwerp. Moet de notatie van Distinguished Name volgen, die bestaat uit door komma's gescheiden naamkenmerken, bijvoorbeeld 'CN=MyName, OU=MyOrgUnit, C=US...'. | Nee | N.v.t. |
| dns-name | De waarde van de dnsName-vermelding in de claim Alternatieve naam voor onderwerp. | Nee | N.v.t. |
| issuer-subject | Onderwerp van uitgever. Moet de notatie van DN-naam volgen. | Nee | N.v.t. |
| issuer-thumbprint | Verlener SHA-1 vingerafdruk. | Nee | N.v.t. |
| issuer-certificate-id | Id van bestaande certificaatentiteit die de openbare sleutel van de verlener vertegenwoordigt. Wederzijds exclusief met andere verlenerkenmerken. | Nee | N.v.t. |
Gebruik
- Beleidssecties: inkomend
- Beleidsbereik: globaal, werkruimte, product, API, bewerking
- Gateways: klassiek, v2, verbruik, zelf-hostend, werkruimte
Voorbeelden
In het volgende voorbeeld wordt een clientcertificaat gevalideerd dat overeenkomt met de standaardvalidatieregels van het beleid en wordt gecontroleerd of de naam van het onderwerp en de verlener overeenkomen met de opgegeven waarden.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
subject="C=US, ST=Illinois, L=Chicago, O="Contoso, Inc.", CN=*.contoso.com"
issuer-subject="C=BE, O=FabrikamSign nv-sa, OU=Root CA, CN=FabrikamSign Root CA" />
</identities>
</validate-client-certificate>
In het volgende voorbeeld wordt een strengere validatie uitgevoerd door aan te geven of de vingerafdruk van het onderwerp en de vingerafdruk van de uitgever overeenkomen met de opgegeven waarden.
<validate-client-certificate
validate-revocation="true"
validate-trust="true"
validate-not-before="true"
validate-not-after="true"
ignore-error="false">
<identities>
<identity
thumbprint="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00"
issuer-thumbprint="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
</identities>
</validate-client-certificate>
Gerelateerd beleid
Gerelateerde inhoud
Zie voor meer informatie over het werken met beleid:
- Zelfstudie: Uw API transformeren en beveiligen
- Beleidsreferentie voor een volledige lijst met beleidsinstructies en hun instellingen
- Beleidsexpressies
- Beleid instellen of bewerken
- Beleidsconfiguraties opnieuw gebruiken
- Beleidsfragmentenopslagplaats
- Beleidsspeelplaats
- Azure API Management-beleidstoolkit
- Krijg hulp van Copilot bij het maken, uitleggen en oplossen van problemen met beleid.