Configuración de la autenticación de certificado de cliente en Azure Container Apps

Azure Container Apps admite la autenticación de certificados de cliente (también conocida como TLS mutuo o mTLS), que permite el acceso a la aplicación contenedora a través de la autenticación bidireccional. En este artículo, se muestra cómo configurar la autorización de certificados de cliente en Azure Container Apps.

Cuando se usan certificados de cliente, los certificados de TLS se intercambian entre el cliente y la aplicación contenedora para autenticar la identidad y cifrar el tráfico. Los certificados de cliente se suelen usar en modelos de seguridad de "confianza cero" para autorizar el acceso de cliente dentro de una organización.

Por ejemplo, es posible que quiera requerir un certificado de cliente para una aplicación contenedora que administra datos confidenciales.

Container Apps acepta certificados de cliente en el formato PKCS12 cuando una entidad de certificación (CA) de confianza los emite o cuando están autofirmados.

Configuración de la autorización de certificados de cliente

Para configurar la compatibilidad con certificados de cliente, establezca la propiedad clientCertificateMode en la plantilla de aplicación contenedora.

La propiedad se puede establecer en uno de los siguientes valores:

• require: el certificado de cliente es necesario para todas las solicitudes a la aplicación contenedora.
• accept: el certificado de cliente es opcional. Si no se proporciona el certificado de cliente, la solicitud todavía se acepta.
• ignore: se omite el certificado de cliente.

La entrada pasa el certificado de cliente a la aplicación contenedora si se establecen require o accept.

En el siguiente ejemplo de plantilla de ARM se configura la entrada para requerir un certificado de cliente para todas las solicitudes a la aplicación contenedora.

{
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Antes de ejecutar los siguientes comandos, asegúrese de reemplazar los marcadores de posición delimitados por <> con sus propios valores.

Obtenga el identificador de Azure Resource Manager (ARM) de la aplicación contenedora:

APP_ID=$(az containerapp show \
  --name <APP_NAME> \
  --resource-group <RESOURCE_GROUP> \
  --query id \
  --output tsv)

Aplique revisiones a la propiedad clientCertificateMode en la aplicación:

az rest \
  --method patch \
  --url "https://management.azure.com/$APP_ID?api-version=<API_VERSION>" \
  --body '{
    "properties": {
      "configuration": {
        "ingress": {
          "clientCertificateMode": "require"
        }
      }
    }
  }'

Modo de certificado de cliente y formato de encabezado

El valor de clientCertificateMode varía lo que necesita proporcionar para que Container Apps administre el certificado:

• Cuando require se establece, el cliente debe proporcionar un certificado.
• Cuando accept se establece, el certificado es opcional. Si el cliente proporciona un certificado, pasa a la aplicación en el encabezado X-Forwarded-Client-Cert, como una lista separada por punto y coma.

Valor de encabezado de ejemplo X-Forwarded-Client-Cert

El ejemplo siguiente es un valor de ejemplo del X-Forwarded-Client-Cert encabezado que la aplicación puede recibir:

Hash=<HASH_VALUE>;Cert="-----BEGIN CERTIFICATE-----<CERTIFICATE_VALUE>";Chain="-----BEGIN CERTIFICATE-----<CERTIFICATE_VALUE>";

Desglose del campo de encabezado

Pasos siguientes