Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment utiliser le portail Azure pour configurer l’authentification mutuelle sur votre Application Gateway. L’authentification mutuelle signifie qu’Application Gateway authentifie le client envoyant la demande à l’aide du certificat client que vous chargez sur Application Gateway.
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Avant de commencer
Pour configurer l’authentification mutuelle avec une passerelle Application Gateway, vous avez besoin d’un certificat client à charger sur la passerelle. Le certificat client sera utilisé pour valider le certificat que le client présentera à Application Gateway. À des fins de test, vous pouvez utiliser un certificat auto-signé. Toutefois, cela n’est pas recommandé pour les charges de travail de production, car elles sont plus difficiles à gérer et ne sont pas complètement sécurisées.
Pour en savoir plus, en particulier sur le type de certificats clients que vous pouvez charger, consultez Vue d’ensemble de l’authentification mutuelle avec Application Gateway.
Créer une nouvelle passerelle d'application
Commencez par créer une passerelle Application Gateway comme vous le feriez généralement via le portail : il n’existe aucune étape supplémentaire nécessaire dans la création pour activer l’authentification mutuelle. Pour plus d’informations sur la création d’une passerelle Application Gateway dans le portail, consultez notre didacticiel de démarrage rapide sur le portail.
Configurer l’authentification mutuelle
Pour configurer une passerelle Application Gateway existante avec l’authentification mutuelle, vous devez d’abord accéder à l’onglet Paramètres SSL dans le portail et créer un profil SSL. Lorsque vous créez un profil SSL, vous voyez deux onglets : Authentification du client et stratégie SSL. L’onglet Authentification du client est l’emplacement où vous allez charger votre ou vos certificats clients. L’onglet Stratégie SSL consiste à configurer une stratégie SSL spécifique à l’écouteur . Pour plus d’informations, consultez Configuration d’une stratégie SSL spécifique à l’écouteur.
Important
Veillez à charger l’intégralité de la chaîne de certificats d’autorité de certification cliente dans un seul fichier et une seule chaîne par fichier.
Recherchez Application Gateway dans le portail, sélectionnez Passerelles d’application, puis cliquez sur votre application Gateway existante.
Sélectionnez les paramètres SSL dans le menu de gauche.
Cliquez sur le signe plus en regard des profils SSL en haut pour créer un profil SSL.
Entrez un nom sous nom de profil SSL. Dans cet exemple, nous appelons notre application de profil SSLGatewaySSLProfile.
Restez dans l’onglet Authentification du client . Chargez le certificat PEM que vous envisagez d’utiliser pour l’authentification mutuelle entre le client et Application Gateway à l’aide du bouton Charger un nouveau certificat .
Pour plus d’informations sur l’extraction des chaînes de certificats d’autorité de certification client approuvées à charger ici, consultez comment extraire des chaînes de certificats d’autorité de certification client approuvées.
Note
Si ce n’est pas votre premier profil SSL et que vous avez chargé d’autres certificats clients sur votre Application Gateway, vous pouvez choisir de réutiliser un certificat existant sur votre passerelle via le menu déroulant.
Cochez la case Vérifier le nom unique de l’émetteur de certificat client uniquement si vous souhaitez qu’Application Gateway vérifie le nom unique de l’émetteur immédiat du certificat client.
Pensez à ajouter une stratégie spécifique à l'écouteur. Consultez les instructions de configuration des stratégies SSL spécifiques de l'écouteur.
Sélectionnez Ajouter pour enregistrer.
Associer le profil SSL à un écouteur
Maintenant que nous avons créé un profil SSL avec l’authentification mutuelle configurée, nous devons associer le profil SSL à l’écouteur pour terminer la configuration de l’authentification mutuelle.
Accédez à votre application Gateway existante. Si vous venez de suivre les étapes ci-dessus, vous n’avez rien à faire ici.
Sélectionnez Écouteurs dans le menu de gauche.
Cliquez sur Ajouter un écouteur si vous n’avez pas encore configuré d’écouteur HTTPS. Si vous disposez déjà d’un écouteur HTTPS, cliquez dessus dans la liste.
Renseignez le nom de l’écouteur, l’adresse IP frontale, le port, le protocole et d’autres paramètres HTTPS pour répondre à vos besoins.
Cochez la case Activer le profil SSL pour pouvoir sélectionner le profil SSL à associer à l’écouteur.
Sélectionnez le profil SSL que vous venez de créer dans la liste déroulante. Dans cet exemple, nous choisissons le profil SSL que nous avons créé à partir des étapes précédentes : applicationGatewaySSLProfile.
Continuez à configurer le reste de l’écouteur pour répondre à vos besoins.
Cliquez sur Ajouter pour enregistrer votre nouvel écouteur avec le profil SSL associé.
Renouveler les certificats d’autorité de certification client expirés
Si votre certificat d’autorité de certification client a expiré, vous pouvez mettre à jour le certificat sur votre passerelle en procédant comme suit :
Accédez à votre application Gateway et accédez à l’onglet Paramètres SSL dans le menu de gauche.
Sélectionnez le ou les profils SSL existants avec le certificat client expiré.
Sélectionnez Charger un nouveau certificat sous l’onglet Authentification du client et charger votre nouveau certificat client.
Sélectionnez l’icône corbeille en regard du certificat expiré. Cette opération supprime l’association de ce certificat du profil SSL.
Répétez les étapes 2 à 4 ci-dessus avec tout autre profil SSL qui utilisait le même certificat client expiré. Vous pourrez choisir le nouveau certificat que vous avez chargé à l’étape 3 dans le menu déroulant dans d’autres profils SSL.