Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A autenticação mútua, ou autenticação de cliente, permite que o Application Gateway autentique as solicitações de envio do cliente. Normalmente, apenas o cliente está autenticando o Application Gateway; a autenticação mútua permite que o cliente e o Application Gateway se autentiquem.
Nota
Recomendamos o uso do TLS 1.2 com autenticação mútua, pois o TLS 1.2 será obrigatório no futuro.
Autenticação mútua
O Gateway de Aplicações suporta autenticação mútua baseada em certificados, onde pode carregar um(s) certificado(s) de CA de cliente de confiança para o Gateway de Aplicação, e o gateway utiliza esse certificado para autenticar o cliente que envia um pedido para o gateway. Com o aumento dos casos de uso de IoT e o aumento dos requisitos de segurança em todos os setores, a autenticação mútua fornece uma maneira de gerenciar e controlar quais clientes podem falar com seu Application Gateway.
O Application Gateway oferece as seguintes duas opções para validar certificados de cliente:
Modo TLS mútuo de passagem
No modo mutual TLS passthrough, o Application Gateway solicita um certificado do cliente durante o processo de handshake TLS, mas não termina a ligação se o certificado estiver em falta ou inválido. A ligação ao backend prossegue independentemente da presença ou validade do certificado. Se for fornecido um certificado, o Application Gateway pode encaminhá-lo para o backend, se a aplicação o exigir. O serviço de backend é responsável por validar o certificado do cliente. Consulta as variáveis do servidor se quiseres configurar o encaminhamento de certificados. Não é necessário carregar nenhum certificado CA quando está em modo Passthrough. Para configurar o passthrough, siga os passos em Configurar o Gateway de Aplicação com autenticação mútua usando o Template ARM.
Nota
Atualmente, esta funcionalidade é suportada apenas através da implementação do Gestor de Recursos do Azure usando a versão da API 2025-03-01.
Modo estrito de Mutual TLS
No modo TLS restrito mútuo, o Application Gateway impõe a autenticação do certificado do cliente durante o handshake TLS, exigindo um certificado cliente válido. Para permitir isto, um certificado de CA cliente de confiança contendo uma CA raiz e, opcionalmente, CAs intermédias deve ser carregado como parte do perfil SSL. Este perfil SSL é então associado a um ouvinte para impor autenticação mútua.
Detalhes da configuração do modo estrito Mutual TLS
Para configurar o Modo Estrito de autenticação mútua, é necessário carregar um certificado de Autoridade Certificadora de cliente de confiança como parte da autenticação do cliente de um perfil SSL. O perfil SSL precisa então de ser associado a um ouvinte para completar a configuração da autenticação mútua. Deve sempre haver um certificado de autoridade de certificação raiz no certificado de cliente que você carrega. Você também pode carregar uma cadeia de certificados, mas a cadeia deve incluir um certificado de autoridade de certificação raiz, além de quantos certificados de autoridade de certificação intermediários desejar. O tamanho máximo de cada ficheiro carregado tem de ser igual ou inferior a 25 KB.
Por exemplo, se o certificado do cliente contiver um certificado de autoridade de certificação raiz, vários certificados de autoridade de certificação intermediária e um certificado folha, certifique-se de que o certificado de autoridade de certificação raiz e todos os certificados de autoridade de certificação intermediários sejam carregados no Application Gateway em um arquivo. Para obter mais informações sobre como extrair um certificado de CA de cliente confiável, consulte como extrair certificados de CA de cliente confiável.
Se você estiver carregando uma cadeia de certificados com certificados de CA raiz e certificados de CA intermediários, a cadeia de certificados deverá ser carregada como um arquivo PEM ou CER no gateway.
Importante
Certifique-se de carregar toda a cadeia de certificados de CA do cliente confiável para o Application Gateway ao usar a autenticação mútua.
Cada perfil SSL pode suportar até 100 cadeias de certificados de CA de clientes confiáveis. Um único Application Gateway pode suportar um total de 200 cadeias de certificados de CA de clientes confiáveis.
Nota
- A autenticação mútua só está disponível em Standard_v2 e WAF_v2 SKUs.
- A configuração da autenticação mútua para ouvintes do protocolo TLS (visualização) está atualmente disponível por meio da API REST, PowerShell e CLI.
Certificados suportados para autenticação mútua em modo estrito TLS
O Application Gateway oferece suporte a certificados emitidos por autoridades de certificação públicas e privadas.
- Certificados CA emitidos por autoridades certificadoras bem conhecidas: Certificados intermédios e raiz são frequentemente encontrados em lojas de certificados confiáveis e permitem ligações confiáveis com pouca ou nenhuma configuração no dispositivo.
- Certificados de autoridade de certificação emitidos por autoridades de certificação estabelecidas pela organização: esses certificados geralmente são emitidos de forma privada por meio de sua organização e não são confiáveis por outras entidades. Os certificados intermediários e raiz devem ser importados para repositórios de certificados confiáveis para que os clientes estabeleçam confiança na cadeia de certificação.
Nota
Ao emitir certificados de cliente de autoridades de certificação bem estabelecidas, considere trabalhar com a autoridade de certificação para ver se um certificado intermediário pode ser emitido para sua organização para evitar a autenticação inadvertida de certificado de cliente entre organizações.
Validação adicional de autenticação do cliente para o modo TLS restrito mútuo
Verificar o DN do certificado do cliente
Você tem a opção de verificar o emissor imediato do certificado do cliente e permitir apenas que o Application Gateway confie nesse emissor. Essa opção está desativada por padrão, mas você pode habilitá-la por meio do Portal, PowerShell ou CLI do Azure.
Se você optar por habilitar o Application Gateway para verificar o emissor imediato do certificado do cliente, veja como determinar qual DN do emissor do certificado do cliente será extraído dos certificados carregados.
-
Cenário 1: A cadeia de certificados inclui: certificado raiz - certificado intermediário - certificado folha
- O nome do assunto do certificado intermediário é o que o Application Gateway extrairá como DN do emissor do certificado do cliente e será verificado.
-
Cenário 2: A cadeia de certificados inclui: certificado raiz - certificado intermediário1 - certificado intermediário2 - certificado folha
- O nome do assunto do certificado Intermediate2 é o que é extraído como o DN do emissor do certificado do cliente e será verificado contra ele.
-
Cenário 3: A cadeia de certificados inclui: certificado raiz - certificado folha
- O nome do assunto do certificado raiz é extraído como DN do emissor do certificado cliente.
-
Cenário 4: Várias cadeias de certificados do mesmo comprimento no mesmo arquivo. A cadeia 1 inclui: certificado raiz - certificado intermediário1 - certificado folha. A cadeia 2 inclui: certificado raiz - certificado intermediário2 - certificado folha.
- O nome do objeto do certificado Intermediate1 é extraído como DN do emissor do certificado do cliente.
-
Cenário 5: Várias cadeias de certificados de comprimentos diferentes no mesmo arquivo. A cadeia 1 inclui: certificado raiz - certificado intermediário1 - certificado folha. A cadeia 2 inclui certificado raiz - certificado intermediário 2 - certificado intermediário 3 - certificado folha.
- O nome do assunto do certificado Intermediate3 é extraído como DN do emissor do certificado do cliente.
Importante
Recomendamos carregar apenas uma cadeia de certificados por arquivo. Isto é especialmente importante se se habilitar a verificação do DN do certificado do cliente. Ao carregar várias cadeias de certificados num só ficheiro, acabará no cenário quatro ou cinco e poderá ter problemas mais tarde, quando o certificado do cliente apresentado não corresponder ao emissor do certificado do cliente DN Application Gateway extraído das cadeias.
Para obter mais informações sobre como extrair cadeias de certificados de CA de cliente confiável, consulte como extrair cadeias de certificados de CA de cliente confiável.
Variáveis de servidor
Com a autenticação TLS mútua, há variáveis de servidor adicionais que você pode usar para passar informações sobre o certificado do cliente para os servidores back-end por trás do Application Gateway. Para obter mais informações sobre quais variáveis de servidor estão disponíveis e como usá-las, confira Variáveis de servidor.
Revogação do certificado
Quando um cliente inicia uma conexão com um Application Gateway configurado com autenticação TLS mútua, não apenas a cadeia de certificados e o nome distinto do emissor podem ser validados, mas o status de revogação do certificado do cliente pode ser verificado com OCSP (Online Certificate Status Protocol). Durante a validação, o certificado apresentado pelo cliente será consultado através do respondente OCSP definido na sua extensão de Acesso à Informação da Autoridade (AIA). No caso de o certificado do cliente ter sido revogado, o gateway da aplicação responde ao cliente com um código de estado HTTP 400 e uma razão. Se o certificado for válido, a solicitação continuará a ser processada pelo gateway de aplicativo e encaminhada para o pool de back-end definido.
A revogação do certificado do cliente pode ser ativada através da API REST, modelo ARM, Bicep, CLI ou PowerShell.
Para configurar a verificação de revogação do cliente em um Gateway de Aplicativo existente por meio do Azure PowerShell, os seguintes comandos podem ser referenciados:
# Get Application Gateway configuration
$AppGw = Get-AzApplicationGateway -Name "ApplicationGateway01" -ResourceGroupName "ResourceGroup01"
# Create new SSL Profile
$profile = Get-AzApplicationGatewaySslProfile -Name "SslProfile01" -ApplicationGateway $AppGw
# Verify Client Cert Issuer DN and enable Client Revocation Check
Set-AzApplicationGatewayClientAuthConfiguration -SslProfile $profile -VerifyClientCertIssuerDN -VerifyClientRevocation OCSP
# Update Application Gateway
Set-AzApplicationGateway -ApplicationGateway $AppGw
Uma lista de todas as referências do Azure PowerShell para Configuração de Autenticação de Cliente no Gateway de Aplicativo pode ser encontrada aqui:
Para verificar se o status de revogação do OCSP foi avaliado para a solicitação do cliente, os logs de acesso conterão uma propriedade chamada "sslClientVerify", com o status da resposta do OCSP.
É fundamental que o respondente OCSP esteja altamente disponível e que a conectividade de rede entre o Application Gateway e o respondedor seja possível. No caso de o Application Gateway não conseguir resolver o nome de domínio totalmente qualificado (FQDN) do respondente definido ou de a conectividade de rede ser bloqueada para/desde o respondente, o estado de revogação do certificado falhar e o Application Gateway devolverá uma resposta HTTP 400 ao cliente solicitante.
Nota
As verificações OCSP são validadas via cache local com base no tempo de "próxima atualização" definido por uma resposta OCSP anterior. Se a cache OCSP não tiver sido preenchida a partir de um pedido anterior, a primeira resposta pode falhar. Após a nova tentativa do cliente, a resposta deve ser encontrada no cache e a solicitação será processada conforme o esperado.
Notas
- A verificação de revogação via CRL não é suportada
- A verificação de revogação do cliente foi introduzida na versão da API 2022-05-01
Próximos passos
Depois de aprender sobre autenticação mútua, vá para Configurar Gateway de Aplicativo com autenticação mútua no PowerShell para criar um Gateway de Aplicativo usando autenticação mútua.