微软宣布其Azure 应用程序网关是一种基于云的解决方案,可提供安全、可扩展且可靠的 Web 应用程序访问,现在支持相互传输层安全性 (mTLS) 和在线证书状态协议 (OCSP)。
mTLS支持确保服务器和客户端在建立安全连接之前相互验证。同时,OCSP实时检查数字证书状态,降低网络攻击风险。在 Azure 应用程序网关中实施 mTLS 和OCSP可增强安全性、提高合规性并降低网络攻击的风险。
通过应用程序网关中的 OCSP 支持,用户可以让它向后端应用程序服务器发送客户端证书,以防它需要客户端证书信息用于审计目的,或者可能想要向客户端证书颁发令牌或 cookie。为此,用户可以设置重写规则以将客户端证书作为 HTTPS 标头发送。
此外,借助 OCSP 支持,用户可以实时验证客户端证书的状态。这可以通过确保当前证书仍然有效且未被破坏来防止中间人攻击。
高级技术项目经理 Rajesh Nautiyal 在 Azure博客文章中解释道:
当客户端启动与配置了双向 TLS 身份验证的应用程序网关的连接时,不仅可以验证证书链和颁发者的可分辨名称,还可以使用 OCSP(在线证书状态协议)检查客户端证书的吊销状态。在验证期间,将通过在其授权信息访问 (AIA) 扩展中定义的已定义 OCSP 响应程序查找客户端提供的证书。如果客户端证书已被吊销,应用程序网关将使用 HTTP 400 状态代码和原因响应客户端。另一方面,如果证书有效,请求将继续由应用程序网关处理并转发到定义的后端池。
要在应用程序网关上启用 mTLS 和 OCSP,客户必须使用受信任机构签署的证书配置其后端服务器。此外,他们还必须将根或中间 CA 证书上传到应用程序网关。
Microsoft 特别推荐 mTLS:
对于物联网 (IoT) 设备之间的通信,每台设备都会向另一台设备出示其证书以进行身份验证。
在微服务架构中,使API之间的通信更加安全,防止恶意API与其通信。
防止暴力攻击或凭据填充等攻击。
用户可以在配置 Azure 应用程序网关后或通过门户中的 SSL 设置选项卡在现有应用程序网关上配置 mTLS 。或者,他们可以使用 PowerShell。
