Как проверить мой сертификат клиента с помощью сертификата Root CA в политике входящего трафика Azure API Management?

Question

Я должен взять свой Root CA из Azure хранилища ключей внутри политики входящих сообщений Azure APIM и проверить запрашиваемый сертификат клиента внутри политики. Для этого я перешел по ссылке и смог получить сертификат https://github.com/galiniliev/api-management-policy-snippets/blob/galin/AkvCert/examples/Look%20up%20Key%20Vault%20certificate%20using%20Managed%20Service%20Identity%20and%20call%20backend.policy.xml

Но я не могу проверить сертификат клиента с помощью My Root CA, который я получил из Azure хранилище ключей Ниже приведены значения Root CA, которые я получаю от Azure хранилища ключей {"id": "https://newdev-keyvault.vault.azure.net/certificates/MyRootCA/bf34888e**********" , "ребенок": "https://newdev-keyvault.vault.azure.net/keys/MyRootCA/bf34888e*************", "Sid": "https://newdev-keyvault.vault.azure.net/secrets/MyRootCA/bf34888****** ******** " "x5t": "gYbnPUooh4D5_ogrmWCEvfDjYXo", "С":" MIIDFTCCAf2gAwIBAgIUJYAgKiqYPh + Iq1DFULomUlhzNTAwDQYJKoZIhvcNAQELBQAwGjELMAkGA1UEBhMCSW4xCzAJBgNVBAoMAlwuMB4XDTIwMDQxNjA4MTgyOFoXDTMwMDQxNDA4MTgyOFowGjELMAkGA1UEBhMCSW4xCzAJBgNVBAoMAlwuMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs2EOpy + GxPFCidiW5hGPVlPXuZFfgJdZWITLkUQ2SvcuBfLSsKmPkSpYO7TAFESpBWD0z8y3BYat0hGA2iBhMWzXN0dhbB + bZ6uDdrg0kuGaFmb4fmQ9mydM7cy3NtZA6lf5uTp9RZV4wiUVyKrRgGRzKUxecnFmtCOyk + ЕВРЕЙ / Jf38laN1l84eM47UaMJjWD9vg / 3QsW3yH + 8zst2gWfXN7giQFRCMnzYTRD0VOd3N + C3k2mx72d4DobwbsngIclDHK0BFUckdK8MaOVIixRRQjFTZ / XjRqhPOCZRbgHHldXfx352eYqzOfYOi / utv8s 6Xwl / 0TI3uj2RTth7CwJkQIDAQABo1MwUTAdBgNVHQ4EFgQUZZMEGpRcswKq23a52gqebZcnloAwHwYDVR0jBBgwFoAUZZMEGpRcswKq23a52gqebZcnloAwDwYDVR0TAQH / BAUwAwEB " "атрибуты": { "включено": правда, "НСБ": 1587025108, "ехр": 1902385108, "создал": 1587036499, "обновленный": 1587036499, "recoveryLevel":" Извлекаемые + Purgeable "}}

Может ли кто-нибудь помочь мне проверить клиентские сертификаты в политике входящих сообщений?

Answer 1

Сертификат, который вы получаете динамически от AKV, в настоящее время не может использоваться для проверки клиентского сертификата из запроса. Единственный способ - загрузить сертификат CA в APIM, а затем вызвать .Validate по запросу сертификата. Для этого вам потребуется экспортировать сертификат из AKV и каждый раз менять его в APIM sh.