Partager via

Créer des certificats pour autoriser le back-end avec Azure Application Gateway

Pour assurer le protocole TLS de bout en bout, l'Application Gateway nécessite que les instances backend soient autorisées via le téléchargement de certificats racine d’authentification/de confiance. Pour le SKU v1, des certificats d'authentification sont requis, mais pour le SKU v2, des certificats racines approuvés sont nécessaires pour autoriser l'utilisation des certificats.

Dans cet article, vous allez apprendre à :

  • Exporter un certificat d’authentification à partir d’un certificat principal (pour la référence SKU v1)
  • Exporter un certificat racine approuvé à partir d’un certificat principal (pour la référence SKU v2)

Prerequisites

Un certificat back-end existant est requis pour générer les certificats d’authentification ou les certificats racines approuvés requis pour autoriser les instances principales avec Application Gateway. Le certificat back-end peut être identique au certificat TLS/SSL ou différent pour une sécurité ajoutée. Application Gateway ne vous fournit aucun mécanisme permettant de créer ou d’acheter un certificat TLS/SSL. À des fins de test, vous pouvez créer un certificat auto-signé, mais vous ne devez pas l’utiliser pour les charges de travail de production.

Exporter le certificat d’authentification (pour la référence SKU v1)

Un certificat d’authentification est requis pour autoriser les instances de backend dans le SKU Application Gateway v1. Le certificat d’authentification est la clé publique des certificats de serveur backend en format X.509 encodé en Base-64 (.CER). Dans cet exemple, vous allez utiliser un certificat TLS/SSL pour le certificat principal et exporter sa clé publique à utiliser comme certification d’authentification. En outre, dans cet exemple, vous allez utiliser l’outil Gestionnaire de certificats Windows pour exporter les certificats requis. Vous pouvez choisir d’utiliser n’importe quel autre outil pratique.

À partir de votre certificat TLS/SSL, exportez la clé publique .cer fichier (et non la clé privée). Les étapes suivantes vous aident à exporter le fichier .cer encodé en base 64 X.509(. Format CER) pour votre certificat :

  1. Pour obtenir un fichier .cer à partir du certificat, ouvrez Gérer les certificats utilisateur. Recherchez le certificat (généralement dans « Certificats - Utilisateur actuel\Personnel\Certificats ») et cliquez avec le bouton droit. Cliquez sur Toutes les tâches, puis sur Exporter. Cela ouvre l'Assistant d'exportation de certificat. Si vous souhaitez ouvrir Certificate Manager dans l’étendue utilisateur actuelle à l’aide de PowerShell, vous tapez certmgr dans la fenêtre de console.

    Note

    Si vous ne trouvez pas le certificat sous Utilisateur actuel\Personal\Certificates, vous avez peut-être ouvert accidentellement « Certificats - Ordinateur local » plutôt que « Certificats - Utilisateur actuel »).

    Capture d’écran montrant le Gestionnaire de certificats avec certificats sélectionné et un menu contextuel avec toutes les tâches, puis Exporter sélectionné.

  2. Dans l’Assistant, cliquez sur Suivant.

    Exporter un certificat

  3. Sélectionnez Non, n’exportez pas la clé privée, puis cliquez sur Suivant.

    N’exportez pas la clé privée

  4. Dans la page Exporter le format de fichier , sélectionnez X.509 codé en base 64 (. CER)., puis cliquez sur Suivant.

    Codé en base 64

  5. Pour le fichier à exporter, accédez à l’emplacement vers lequel vous souhaitez exporter le certificat. Pour le nom de fichier, nommez le fichier de certificat. Cliquez ensuite sur Suivant.

    Capture d’écran montrant l’Assistant Exportation de certificat dans lequel vous spécifiez un fichier à exporter.

  6. Cliquez sur Terminer pour exporter le certificat.

    Capture d’écran montrant l’Assistant Exportation de certificat une fois l’exportation de fichier terminée.

  7. Votre certificat est correctement exporté.

    Capture d’écran montrant l’Assistant Exportation de certificat avec un message de réussite.

    Le certificat exporté ressemble à ceci :

    Capture d’écran montrant un symbole de certificat.

  8. Si vous ouvrez le certificat exporté à l’aide du Bloc-notes, vous voyez quelque chose de similaire à cet exemple. La section en bleu contient les informations qui sont chargées dans application Gateway. Si vous ouvrez votre certificat avec Notepad et qu’il ne ressemble pas à ceci, cela signifie généralement que vous ne l’avez pas exporté en utilisant le format X.509 codé en base 64 (.CER). En outre, si vous souhaitez utiliser un autre éditeur de texte, comprenez que certains éditeurs peuvent introduire une mise en forme involontaire en arrière-plan. Cela peut créer des problèmes lors du chargement du texte de ce certificat vers Azure.

    Ouvrir avec le Bloc-notes

Exporter un certificat racine de confiance (pour SKU v2)

Le certificat racine approuvé est requis pour autoriser les instances de backend dans le SKU de l'Application Gateway v2. Le certificat racine est un certificat de type X.509 encodé en Base-64 (.CER) provenant des certificats du serveur de backend. Dans cet exemple, nous allons utiliser un certificat TLS/SSL pour le certificat principal, exporter sa clé publique, puis exporter le certificat racine de l’autorité de certification approuvée à partir de la clé publique au format codé en base64 pour obtenir le certificat racine approuvé. Le ou les certificats intermédiaires doivent être regroupés avec le certificat de serveur et installés sur le serveur principal.

Les étapes suivantes vous aident à exporter le fichier .cer pour votre certificat :

  1. Utilisez les étapes 1 à 8 mentionnées dans la section précédente Exporter le certificat d’authentification (pour la référence SKU v1) pour exporter la clé publique à partir de votre certificat principal.

  2. Une fois la clé publique exportée, ouvrez le fichier.

    Ouvrir un certificat d’autorisation

    à propos du certificat

  3. Accédez à l’affichage Chemin de certification pour afficher l’autorité de certification.

    Détails du certificat

  4. Sélectionnez le certificat racine, puis cliquez sur Afficher le certificat.

    Chemin d’accès au certificat

    Vous devez voir les détails du certificat racine.

    Informations sur le certificat

  5. Accédez à l’affichage Détails , puis cliquez sur Copier dans le fichier...

    copier le certificat racine

  6. À ce stade, vous avez extrait les détails du certificat racine à partir du certificat back-end. Vous allez voir l'Assistant d'exportation de certificats. Utilisez maintenant les étapes 2 à 9 mentionnées dans la section précédente Exporter le certificat d’authentification à partir d’un certificat principal (pour le SKU v1) pour exporter le certificat racine approuvé au format X.509 encodé en Base-64 (.CER).

Étapes suivantes

Vous disposez maintenant du certificat d'authentification/certificat racine approuvé dans le format X.509 codé en base-64 (.CER). Vous pouvez l’ajouter à la passerelle d’application pour permettre à vos serveurs back-end de chiffrement TLS de bout en bout. Consultez Configurer le protocole TLS de bout en bout à l’aide d’Application Gateway avec PowerShell.

  • Last updated on