Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar Azure Portal para configurar la autenticación mutua en Application Gateway. La autenticación mutua significa que Application Gateway autentica al cliente que envía la solicitud mediante el certificado de cliente que carga en Application Gateway.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Antes de empezar
Para configurar la autenticación mutua con un Application Gateway, necesita un certificado de cliente para subirlo a la puerta de enlace. El certificado de cliente se usará para validar el certificado que el cliente presentará a Application Gateway. Con fines de prueba, puede usar un certificado autofirmado. Sin embargo, esto no se recomienda para cargas de trabajo de producción, ya que son más difíciles de administrar y no son completamente seguras.
Para más información, especialmente sobre qué tipo de certificados de cliente puede cargar, consulte Introducción a la autenticación mutua con Application Gateway.
Creación de una nueva instancia de Application Gateway
En primer lugar, cree una nueva instancia de Application Gateway como lo haría normalmente a través del portal: no se necesitan pasos adicionales en la creación para habilitar la autenticación mutua. Para más información sobre cómo crear una instancia de Application Gateway en el portal, consulte nuestro tutorial de inicio rápido del portal.
Configuración de la autenticación mutua
Para configurar una instancia de Application Gateway existente con autenticación mutua, primero debe ir a la pestaña Configuración de SSL en el portal y crear un nuevo perfil SSL. Al crear un perfil SSL, verá dos pestañas: Autenticación de cliente y Directiva SSL. La pestaña Autenticación de cliente es donde cargará los certificados de cliente. La pestaña Directiva SSL consiste en configurar una directiva SSL específica del agente de escucha. Para obtener más información, consulte Configuración de una directiva SSL específica del agente de escucha.
Importante
Asegúrese de cargar toda la cadena de certificados de autoridad de certificación del cliente en un solo archivo y solo una cadena por cada archivo.
Busque Application Gateway en el portal, seleccione Puertas de enlace de aplicaciones y haga clic en la instancia de Application Gateway existente.
Seleccione Configuración de SSL en el menú de la izquierda.
Haga clic en el signo más situado junto a Perfiles SSL en la parte superior para crear un nuevo perfil SSL.
Escriba un nombre en Nombre de perfil SSL. En este ejemplo, llamamos a nuestro perfil SSL applicationGatewaySSLProfile.
Permanezca en la pestaña Autenticación de cliente . Cargue el certificado PEM que quiere usar para la autenticación mutua entre el cliente y Application Gateway mediante el botón Cargar un nuevo certificado .
Para obtener más información sobre cómo extraer cadenas de certificados de entidad de certificación (CA) de cliente de confianza para cargar aquí, consulte cómo extraer cadenas de certificados de entidad de certificación (CA) de cliente de confianza.
Nota:
Si no es su primer perfil SSL y ha cargado otros certificados de cliente en Application Gateway, puede optar por reutilizar un certificado existente en la puerta de enlace a través del menú desplegable.
Active la casilla Comprobar el DN del emisor del certificado de cliente solo si desea que Application Gateway compruebe el nombre distintivo del emisor inmediato del certificado de cliente.
Considere la posibilidad de agregar una directiva específica de escucha. Consulte las instrucciones para configurar directivas SSL específicas del agente de escucha.
Seleccione Agregar para guardar.
Asociar el perfil SSL con un escucha
Ahora que hemos creado un perfil SSL con la autenticación mutua configurada, es necesario asociar el perfil SSL al agente de escucha para completar la configuración de la autenticación mutua.
Vaya a su instancia de Application Gateway. Si acaba de completar los pasos anteriores, no es necesario hacer nada aquí.
Seleccione Escuchadores del menú de la izquierda.
Haga clic en Agregar agente de escucha si aún no tiene configurado un agente de escucha HTTPS. Si ya tiene un agente de escucha HTTPS, haga clic en él en la lista.
Rellene el nombre del agente de escucha, la dirección IP de front-end, el puerto, el protocolo y otras configuraciones HTTPS para satisfacer sus requisitos.
Active la casilla Habilitar perfil SSL para que pueda seleccionar qué perfil SSL asociar al agente de escucha.
Seleccione el perfil SSL que acaba de crear en la lista desplegable. En este ejemplo, elegimos el perfil SSL que creamos a partir de los pasos anteriores: applicationGatewaySSLProfile.
Siga configurando el resto del agente de escucha para que se ajuste a sus requisitos.
Haga clic en Agregar para guardar el nuevo agente de escucha con el perfil SSL asociado.
Renovar los certificados de Autoridad de Certificación de clientes expirados
En caso de que el certificado de CA de cliente haya expirado, puede actualizar el certificado en la puerta de enlace mediante los pasos siguientes:
Vaya a Application Gateway y vaya a la pestaña Configuración de SSL en el menú de la izquierda.
Seleccione los perfiles SSL existentes con el certificado de cliente expirado.
Seleccione Cargar un nuevo certificado en la pestaña Autenticación de cliente y cargue el nuevo certificado de cliente.
Seleccione el icono de papelera junto al certificado expirado. Esto eliminará la asociación de ese certificado del perfil de SSL.
Repita los pasos 2 a 4 anteriores con cualquier otro perfil SSL que estuviera usando el mismo certificado de cliente expirado. Podrá elegir el nuevo certificado que cargó en el paso 3 en el menú desplegable de otros perfiles SSL.