クライアント証明書を要求するAPIの作成から公開まで

はじめに

APIにアクセスしてくるクライアントを認証するためにクライアント証明書を使いたいケースもあります。IBM API ConnectではAPI定義にクライアント認証を選択し、使用する証明書を登録しておくと、簡単にクライアント証明書を使った認証を要求するAPIを作成することが可能です。ここでは特定のヘッダーを使ってクライアント認証するケースを紹介します。

前提条件

• 環境
  1. IBM API Connect (IBM Cloud版で、執筆時点V5.0.8.xと思われます)のLite（無料）版。
  2. 当たり前ですがIBM Cloudのアカウントはあるものとします。
  3. カタログ設定、開発者ポータル設定はできているものとします。

手順

手順は以下の流れです。

１. クライアント証明書を作成
１. まずは鍵を作成

  openssl genrsa -out CLIENT_CERT.key 2048

２. この鍵を元にCSRを作成

  openssl genrsa -out CLIENT_CERT.key 2048

３. このCSRに署名してクライアント証明書を発行

  openssl x509 -sha256 -req -days 3650 -in CLIENT_CERT.csr -signkey CLIENT_CERT.key -out CLIENT_CERT-ca.crt

２. IBM Cloudにログインし、API ConnectのAPI ManagerのAPI定義画面（ドラフト）に遷移

３. APIを新規作成し、以下を設定
　１. 基本パスの設定

　２. アプリケーションの認証を有効化

　３. セキュリティ定義のクライアントIDの設定はそのまま

　４. パスを設定、メソッドはデフォルトのGETのままで、パラメータにX-Client-Certificateヘッダーを設定

　５. アセンブルを開く
　　１. 今回はバックエンドを呼ばず固定レスポンスを折り返すモックAPIとするので、invokeを消す
　　２. 変数設定ポリシーをドラッグ＆ドロップする
　　３. message.status.codeに200、message.bodyに{"Status": "Authenticated"}を設定し、固定レスポンスを作成

　６. APIを保存したら、製品（新規でもデフォルトでも良いですが、ここでは既存の製品を使用）に追加してカタログにステージング＆公開

ここではTestProductを選択して追加

TestProduct製品をTestカタログにステージング

Testカタログにステージングされた製品を公開

公開ステータスに変わる

４. 開発者ポータルにログインし、公開した製品があることを確認

５. アプリケーションを作成する

　１. アプリの名前（タイトル）を入れる
　２. 証明書のセクションに1で作成した証明書の中身をコピペしてSubmit

　３. クライアントIDとシークレットが表示されるのでメモ

　４. 3.6で公開された製品をサブスクライブする

available APIsをクリックすると製品一覧に飛ぶ

先ほどのTestProductを選択してSubscribeをクリック

サブスクライブしたいアプリとして先ほど作成したアプリを選択してSubscribe

サブスクライブ成功メッセージが出るのを確認

作成したアプリのページに戻るとサブスクリプション一覧に先ほどのTestProductがあることを確認

６. APIにアクセスしてみる。先ほど設定したX-Client-Certificateヘッダの値に、作成した証明書の中身をコピペで入れてリクエストする。ここではPostmanを使用。
　　　１. エンドポイントに設定したパス、メソッドを選択、
　　　２. X-IBM-Client-Idヘッダーに5.3でメモしたクライアントIDをセット
　　　３. 3.4で設定したX-Client-Certificateヘッダに1で作成した証明書の中身（PEM形式）をコピペ
　　　４. 呼び出しをクリックしてリクエスト実行
　　　５. 200 OKの{"Status": "Authenticated"}が返ることを確認

　　　６. 証明書の値を書き換えてリクエストすると、401 Unauthorizedエラーになることを確認（証明書が無効と怒られる）

　　　７. 証明書のヘッダーの中身を空にしてリクエストすると、401 Unauthorizedエラーになることを確認（MTLSを使用してないと怒られる）

まとめ

クラウド版のAPI Connectにて、クライアント認証を要求するAPIが簡単に公開できることがわかりました。オンプレ版のAPI Connectの場合だとGateway側のMTLS設定も可能のため、MTLS通信におけるクライアント証明書によるクライアント認証も可能です。

参考

• https://www.ibm.com/support/knowledgecenter/en/SSMNED_5.0.0/com.ibm.apic.cmc.doc/ssl.html
• https://www.ibm.com/support/knowledgecenter/SSMNED_5.0.0/com.ibm.apic.toolkit.doc/task_apionprem_creating_apis.html#task_tq2_11r_xt__tls_mutual_auth
• https://www.ibm.com/support/knowledgecenter/en/SSMNED_5.0.0/com.ibm.apic.devportal.doc/task_cmsportal_registerapps.html#task_devportal_registerapps__x509_cert
• https://developer.ibm.com/apiconnect/2018/09/14/tls-profiles-ibm-api-connect/
• https://developer.ibm.com/answers/questions/464390/tls-mutual-auth-at-an-api-level/