ssl - Azure Function Apps 如何处理客户端证书身份验证?

标签 ssl azure-functions client-certificates azure-function-app mutual-authentication

希望我能说得足够清楚。
目标:

  • 客户端证书认证 Azure Function

  • 场景:
  • Azure 函数 应用 和:
  • HTTPS Only:设置为 Yes
  • Client certificate mode:设置为 Require

  • HTTP 触发的 Azure 函数 (Python),它:
  • 加载客户端证书 from X-ARR-ClientCert header
  • 从数据库中提取预共享客户端证书并进行比较:
  • 发行人
  • 通用名
  • 之前/之后无效

  • 点击列出的 OCSP 端点以查看证书是否被吊销

  • 如果每个证书的属性匹配并且证书未被撤销,则函数将为请求者生成一个 SAS token 并在响应中发送它。

  • 问题:
  • 在这种情况下如何处理客户端证书身份验证的加密部分?
  • 根据this (great) blog post ,有一个CertificateVerify一步在哪里...
  • "The client is authenticated by using its private key to sign ahash of all the messages up to this point. The recipient verifiesthe signature using the public key of the signer, thus ensuring itwas signed with the client’s private key."我没有看到访问... all the messages up to this point. 的方法使用函数 (Python) 代码验证这一点。
    这是 Microsoft 自动处理的事情吗(类似于他们通过 X-ARR-ClientCert header 转发客户端证书的方式)?或者这是不可能的?

    最佳答案

    根据我在类似案例中的实现:

  • 您的应用通过 header 收到证书,并且必须:
  • 加载证书(例如使用 python 中的库加密)
  • 向您的证书颁发机构验证证书的签名
  • 验证有效日期
  • 验证它是否未被撤销

  • 使用 Web 应用程序(但同样适用于函数),Azure 前端似乎只是启动身份验证协议(protocol)来验证发送证书的客户端是否具有关联的私钥(并启动相互身份验证协议(protocol),如博客文章中所述) .但它不验证证书的有效性或签名。

  • 您提到的 CertificateVerify 步骤似乎由 Azure 前端处理,我认为您无需担心此过程。
    希望这会有所帮助!

    关于ssl - Azure Function Apps 如何处理客户端证书身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64428946/

    相关文章:

    java - 如何在本地 Tomcat 中启用 TLS 1.2?

    azure-web-app-service - 从 azure-cli 向 Web App 或 Function App 添加 App Insights 支持

    WCF-认证客户端是否需要服务证书?

    java - 仅从特定servlet提示输入(任何)客户端证书

    ios - 是否可以在我的应用程序中使用安装在 iOS 设备上的客户端证书?

    Apache 2.4 SSL 配置 - 服务器拒绝 HTTP 400 的请求

    java - Tomcat-两种SSL作为服务器

    java - 启用 SSL 的主机

    c# - Azure 函数 - function.json 它位于何处?

    function - 无法在 Visual Studio 2017 中调试 Azure 计时器函数