Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A autenticação mútua, ou autenticação de cliente, permite que o Gateway de Aplicativo autentique as solicitações de envio do cliente. Normalmente, apenas o cliente está Autenticando o Gateway de Aplicativo; a autenticação mútua permite que o cliente e o Gateway de Aplicativo se autentiquem.
Observação
É recomendável usar o TLS 1.2 com autenticação mútua, pois o TLS 1.2 será obrigatório no futuro.
Autenticação mútua
O Gateway de Aplicativo dá suporte à autenticação mútua baseada em certificado, onde é possível carregar um certificado de CA (Autoridade Certificadora) do cliente confiável no Gateway de Aplicativo, e o gateway usa esse certificado para autenticar o cliente que envia uma solicitação para o gateway. Com o aumento em casos de uso de IoT e maiores requisitos de segurança entre os setores, a autenticação mútua fornece uma maneira de gerenciar e controlar quais clientes podem se comunicar com o seu Gateway de Aplicativo.
O Gateway de Aplicativo fornece as duas opções a seguir para validar certificados de cliente:
Modo de passagem do TLS mútuo
No modo de passagem do TLS mútuo, o Gateway de Aplicativo solicita um certificado do cliente durante o handshake do TLS, mas não encerra a conexão se o certificado estiver ausente ou inválido. A conexão com o back-end continua independentemente da presença ou validade do certificado. Se um certificado for fornecido, o Gateway de Aplicativo poderá encaminhá-lo para o back-end, se exigido pelo aplicativo. O serviço de back-end é responsável por validar o certificado do cliente. Consulte as variáveis de servidor se você quiser configurar o encaminhamento de certificado. Não é necessário carregar nenhum certificado de autoridade de certificação, quando ele estiver no modo Passthrough. Para configurar a passagem, siga as etapas em Configurar o Gateway de Aplicativo com a autenticação mútua usando um modelo do ARM.
Observação
Atualmente, esse recurso só tem suporte por meio da implantação do Azure Resource Manager usando a API versão 2025-03-01.
Modo estrito do Mutual TLS
No modo estrito do TLS mútuo, o Gateway de Aplicativo impõe a autenticação de certificado do cliente durante o handshake do TLS, exigindo um certificado do cliente válido. Para habilitar isso, um certificado de autoridade de certificação do cliente confiável que contém uma autoridade certificadora raiz e, opcionalmente, autoridades certificadoras intermediárias, deve ser carregado como parte do perfil SSL. Esse perfil SSL é associado a um ouvinte para impor a autenticação mútua.
Detalhes da configuração do modo estrito do TLS mútuo
Para configurar o Modo Estrito de autenticação mútua, é necessário carregar um certificado de autoridade de certificação do cliente confiável como parte da autenticação do cliente em um perfil SSL. Em seguida, o perfil SSL precisa ser associado a um ouvinte para concluir a configuração da autenticação mútua. Sempre deve haver um CA de certificação raiz no certificado do cliente que você carrega. Você também pode carregar uma cadeia de certificados, mas a cadeia deve incluir um certificado de autoridade de certificação raiz, além de quantos certificados de CA intermediários desejar. O tamanho máximo de cada arquivo carregado deve ser de 25 KB ou menos.
Por exemplo, se o certificado do cliente contiver um certificado de autoridade de certificação raiz, vários CAs de certificação intermediários e um certificado de folha, verifique se o CA de certificação raiz e todos os certificados de CA intermediários são carregados no Gateway de Aplicativo em um arquivo. Para mais informações sobre como extrair cadeias de certificados de CA de cliente confiáveis para carregar aqui, consulte como extrair cadeias de certificados de AC de cliente confiáveis.
Se você estiver carregando uma cadeia de certificados de CA raiz e certificados de CA intermediários, a cadeia de certificados deverá ser carregada como um arquivo PEM ou CER para o gateway.
Importante
Certifique-se de carregar toda a cadeia de certificados de AC do cliente confiável para o Gateway de Aplicativo ao usar a autenticação mútua.
Cada perfil de SSL pode dar suporte a até 100 cadeias de certificados de AC de cliente confiáveis. Um Gateway de Aplicativo individual pode dar suporte a um total de 200 cadeias de certificados de AC de cliente confiáveis.
Observação
- A autenticação mútua somente está disponível em SKUs Standard_v2 e WAF_v2.
- A configuração da autenticação mútua para ouvintes de protocolo TLS (versão prévia) está disponível atualmente por meio da API REST, do PowerShell e da CLI.
Certificados com suporte para autenticação de modo estrito do TLS mútua
O Gateway de Aplicativo dá suporte a certificados emitidos por autoridades de certificação estabelecidas públicas e privadas.
- Certificados CA emitidos por autoridades de certificação conhecidas: certificados intermediários e raiz geralmente são encontrados em repositórios de certificados confiáveis e permitem conexões seguras com pouca ou nenhuma configuração adicional no dispositivo.
- Certificados de autoridade de certificação emitidos por autoridades de certificação estabelecidas pela organização: esses certificados normalmente são emitidos de forma privada por meio de sua organização e não têm a confiança de outras entidades. Os certificados intermediários e raiz devem ser importados para repositórios de certificados confiáveis para que os clientes estabeleçam confiança na cadeia.
Observação
Ao emitir certificados de cliente de autoridades de certificação bem estabelecidas, considere trabalhar com a autoridade de certificação para ver se um certificado intermediário pode ser emitido para sua organização para impedir a autenticação desavisada de certificados de cliente entre organizações.
Validação adicional de autenticação de cliente para o modo estrito de TLS mútuo
Verificar DN do certificado de cliente
Você pode verificar o emissor imediato do certificado do cliente e permitir que apenas o Gateway de Aplicativo confie no emissor. Essa opção está desativada por padrão, mas é possível habilitá-la por meio do portal, do PowerShell ou da CLI do Azure.
Se você optar por habilitar o Gateway de Aplicativo para verificar o emissor imediato do certificado do cliente, veja como determinar qual será o DN do emissor do certificado do cliente a ser extraído dos certificados carregados.
-
Cenário 1: A cadeia de certificados abrange: certificado raiz - certificado intermediário - certificados de folha
- O nome da entidade docertificado intermediário é o que o Gateway de Aplicativo extrairá como o DN do emissor do certificado do cliente e será verificado.
-
Cenário 2: A cadeia de certificados abrange: certificado raiz - certificado intermediário1 - certificado intermediário2 - certificado de folha
- O nome da entidade do certificado intermediário2 é o que será extraído como o DN do emissor do certificado do cliente e será verificado.
-
Cenário 3: A cadeia de certificados abrange: certificado raiz - certificado intermediário - certificados de folha
- O nome da entidade do certificado raiz é extraído como o DN do emissor do certificado do cliente.
-
Cenário 4: Múltiplas cadeias de certificados do mesmo comprimento no mesmo arquivo. A cadeia 1 inclui: certificado raiz - certificado intermediário1 - certificado de folha. A cadeia 2 inclui: certificado raiz - certificado intermediário2 - certificado de folha.
- O nome da entidade do certificado intermediário1 será extraído como o DN do emissor do certificado do cliente.
-
Cenário 5: Múltiplas cadeias de certificados do mesmo comprimento no mesmo arquivo. A cadeia 1 inclui: certificado raiz - certificado intermediário1 - certificado de folha. A cadeia 2 inclui certificado raiz - certificado intermediário2 - certificado intermediário3 - certificado de folha.
- O nome da entidade do certificado intermediário3 é extraído como o DN do emissor do certificado do cliente.
Importante
Recomendamos carregar apenas uma cadeia de certificados por arquivo. Isso é especialmente importante se você habilitar a opção verificar DN de certificado de cliente. Ao carregar várias cadeias de certificados em um arquivo, você terminará no cenário 4 ou 5 e poderá encontrar problemas posteriormente na linha quando o certificado do cliente apresentado não corresponder ao Gateway de Aplicativo do DN do emissor do certificado do cliente extraído das cadeias.
Para mais informações sobre como extrair cadeias de certificados de AC de cliente confiáveis para carregar aqui, consulte como extrair cadeias de certificados de AC de cliente confiáveis.
Variáveis de servidor
Com a autenticação TLS mútua, há variáveis de servidor adicionais que você pode usar para passar informações sobre o certificado do cliente aos servidores de back-end protegidos pelo Gateway de Aplicativo. Para obter mais informações sobre quais variáveis de servidor estão disponíveis e como usá-las, confira variáveis de servidor.
Revogação de certificado
Quando um cliente inicia uma conexão com um Gateway de Aplicativo configurado com autenticação TLS mútua, a cadeia de certificados e o nome diferenciado do emissor podem ser validados e o status de revogação do certificado do cliente pode ser verificado com o OCSP (Protocolo de Status do Certificado Online). Durante a validação, o certificado apresentado pelo cliente será pesquisado por meio do respondente do OCSP definido na extensão AIA (acesso às informações da autoridade). Caso o certificado do cliente tenha sido revogado, o gateway de aplicativo responderá ao cliente com um código de status HTTP 400 e um motivo. Se o certificado for válido, a solicitação continuará sendo processada pelo gateway de aplicativo e encaminhada para o pool de back-end definido.
A revogação do certificado do cliente pode ser habilitada por meio da API REST, modelo do ARM, Bicep, CLI ou PowerShell.
Para configurar a verificação de revogação de cliente em um gateway de aplicativo existente por meio do Azure PowerShell, os seguintes comandos podem ser usados:
# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"
# Create new SSL Profile
$profile = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw
# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP
# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw
Veja aqui uma lista de todas as referências do Azure PowerShell para configuração de autenticação de cliente no Gateway de Aplicativo:
Para verificar se o status de revogação do OCSP foi avaliado para a solicitação do cliente, os logs de acesso conterão uma propriedade chamada "sslClientVerify", com o status da resposta do OCSP.
É fundamental que o respondedor OCSP esteja altamente disponível e que a conectividade de rede entre o Gateway de Aplicações e o respondedor seja possível. Caso o Gateway de Aplicativo não consiga resolver o FQDN (nome de domínio totalmente qualificado) do respondente definido ou a conectividade de rede é bloqueada para/do respondente, o status de revogação do certificado falha e o Gateway de Aplicativo retornará uma resposta HTTP 400 ao cliente solicitante.
Observação
As verificações do OCSP são validadas por meio do cache local com base na hora de nextUpdate definida por uma resposta do OCSP anterior. Se o cache OCSP não tiver sido preenchido de uma solicitação anterior, a primeira resposta poderá falhar. Após a repetição do cliente, a resposta deverá ser encontrada no cache e a solicitação será processada conforme o esperado.
Observações
- Não há suporte para verificação de revogação via CRL
- A verificação de revogação do cliente foi introduzida na versão 2022-05-01 da API
Próximas etapas
Depois de aprender sobre a autenticação mútua, vá para Configurar o Gateway de Aplicativo com autenticação mútua no PowerShell para criar um Gateway de Aplicativo usando a autenticação mútua.