我希望在Azure API管理策略中实现客户端证书验证,以根据以下文档检查客户端是否具有有效证书。
https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-mutual-certificates-for-clients
我在API管理服务前面部署了应用网关,以内部模式连接到vnet。
我有下面文章中提到的同样的问题。证书没有传递给APIM。Azure应用程序网关未传递客户端证书
我看到在预览模式下,应用程序网关支持相互身份验证。这是解决此问题的唯一可能选项吗。v1应用程序网关上此功能的发布时间表。https://learn.microsoft.com/en-us/azure/application-gateway/mutual-authentication-overview
将证书传递到APIM网关以验证启用此功能的客户端证书。
当我尝试从网络中访问API时,当流量到达内部端点时,我的APIM策略工作正常。在我们的设置中,此路由不会通过应用程序网关,并且运行良好。但是在使用客户端证书启用外部访问时遇到问题
"将证书传递到APIM网关以验证启用了该功能的客户端证书"-不,不会的。
微软的答案:
我们确实可以选择在应用程序网关上进行相互身份验证它可以允许客户端和应用程序网关:https://learn.microsoft.com/en-us/azure/application-gateway/mutual-authentication-overview
然而,这仍然是预览版,不包括在SLA。作为AppGW和APIM之间的相互身份验证,我们与后端工程师进行了双重确认,不幸的是答案是的,我们不支持这样的功能。