Udostępnij przez

Konfigurowanie wzajemnego uwierzytelniania za pomocą usługi Application Gateway za pośrednictwem portalu

W tym artykule opisano sposób konfigurowania wzajemnego uwierzytelniania w usłudze Application Gateway przy użyciu witryny Azure Portal. Wzajemne uwierzytelnianie oznacza, że usługa Application Gateway uwierzytelnia klienta wysyłającego żądanie przy użyciu certyfikatu klienta przekazanego do usługi Application Gateway.

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Zanim rozpoczniesz

Aby skonfigurować uwierzytelnianie wzajemne z Application Gateway, musisz przesłać certyfikat klienta do bramy. Certyfikat klienta zostanie użyty do zweryfikowania certyfikatu, który klient będzie prezentował w usłudze Application Gateway. Do celów testowych można użyć certyfikatu z podpisem własnym. Nie jest to jednak zalecane w przypadku obciążeń produkcyjnych, ponieważ są one trudniejsze do zarządzania i nie są całkowicie bezpieczne.

Aby dowiedzieć się więcej, szczególnie na temat rodzaju certyfikatów klienta, które można przekazać, zobacz Omówienie wzajemnego uwierzytelniania za pomocą usługi Application Gateway.

Tworzenie nowej usługi Application Gateway

Najpierw utwórz nową usługę Application Gateway, tak jak zwykle za pośrednictwem portalu — tworzenie nie wymaga dodatkowych kroków w celu umożliwienia wzajemnego uwierzytelniania. Aby uzyskać więcej informacji na temat tworzenia usługi Application Gateway w portalu, zapoznaj się z naszym samouczkiem Szybki start dotyczącym portalu.

Konfigurowanie wzajemnego uwierzytelniania

Aby skonfigurować istniejącą usługę Application Gateway z uwierzytelnianiem wzajemnym, musisz najpierw przejść do karty Ustawienia protokołu SSL w portalu i utworzyć nowy profil SSL. Podczas tworzenia profilu SSL zobaczysz dwie karty: Uwierzytelnianie klienta i zasady SSL. Karta Uwierzytelnianie klienta umożliwia przekazanie certyfikatów klienta. Karta Zasady protokołu SSL służy do konfigurowania zasad protokołu SSL dla odbiornika — aby uzyskać więcej informacji, zobacz Konfigurowanie zasad protokołu SSL specyficznych dla odbiornika.

Ważne

Upewnij się, że cały łańcuch certyfikatów CA klienta jest wgrany w jednym pliku, a na każdy plik przypada tylko jeden łańcuch.

  1. Wyszukaj usługę Application Gateway w portalu, wybierz pozycję Bramy aplikacji i kliknij istniejącą usługę Application Gateway.

  2. Wybierz pozycję Ustawienia protokołu SSL z menu po lewej stronie.

  3. Kliknij znak plus obok pozycji Profile SSL u góry, aby utworzyć nowy profil SSL.

  4. Wprowadź nazwę w obszarze Nazwa profilu SSL. W tym przykładzie nazywamy nasz profil SSL applicationGatewaySSLProfile.

  5. Pozostań na karcie Uwierzytelnianie klienta . Przekaż certyfikat PEM, który ma być używany do wzajemnego uwierzytelniania między klientem a usługą Application Gateway, korzystając z przycisku Przekaż nowy certyfikat .

    Aby uzyskać więcej informacji o tym, jak wyodrębnić łańcuchy certyfikatów zaufanego urzędu certyfikacji klienta do przesłania tutaj, zobacz jak wyodrębnić łańcuchy certyfikatów zaufanego urzędu certyfikacji klienta.

    Uwaga / Notatka

    Jeśli to nie jest twój pierwszy profil SSL i załadowałeś inne certyfikaty klienta na Twoją bramę Application Gateway, możesz ponownie użyć istniejącego certyfikatu na bramie za pomocą menu rozwijanego.

  6. Zaznacz pole Sprawdź nazwę wyróżniającą wystawcy certyfikatu klienta tylko wtedy, gdy chcesz, aby usługa Application Gateway zweryfikowała natychmiastową nazwę wyróżniającą wystawcy certyfikatu klienta.

  7. Rozważ dodanie zasad specyficznych dla odbiornika. Zobacz instrukcje dotyczące konfigurowania zasad protokołu SSL specyficznych dla odbiornika.

  8. Wybierz pozycję Dodaj , aby zapisać.

    Dodawanie uwierzytelniania klienta do profilu SSL

Kojarzenie profilu SSL z odbiornikiem

Po utworzeniu profilu SSL ze skonfigurowanym wzajemnym uwierzytelnianiem musimy skojarzyć profil SSL z odbiornikiem, aby ukończyć konfigurację wzajemnego uwierzytelniania.

  1. Przejdź do istniejącej usługi Application Gateway. Jeśli po prostu wykonano powyższe kroki, nie musisz wykonywać żadnych czynności w tym miejscu.

  2. Wybierz pozycję Odbiorniki z menu po lewej stronie.

  3. Kliknij pozycję Dodaj odbiornik , jeśli nie masz jeszcze skonfigurowanego odbiornika HTTPS. Jeśli masz już odbiornik HTTPS, kliknij go z listy.

  4. Wypełnij Nazwa odbiornika, Adres IP Frontowy, Port, Protokół i inne Ustawienia HTTPS , aby spełnić wymagania.

  5. Zaznacz pole wyboru Włącz profil SSL , aby wybrać profil SSL, który ma być skojarzony z odbiornikiem.

  6. Wybierz właśnie utworzony profil SSL z listy rozwijanej. W tym przykładzie wybieramy profil SSL utworzony na podstawie wcześniejszych kroków: applicationGatewaySSLProfile.

  7. Kontynuuj konfigurowanie pozostałej części odbiornika w celu spełnienia wymagań.

  8. Kliknij przycisk Dodaj , aby zapisać nowy odbiornik z skojarzonym profilem SSL.

    Kojarzenie profilu SSL z nowym odbiornikiem

Odnawianie wygasłych klienckich certyfikatów CA

W przypadku wygaśnięcia certyfikatu urzędu certyfikacji klienta (CA), można zaktualizować certyfikat na bramie, wykonując następujące kroki:

  1. Przejdź do usługi Application Gateway i przejdź do karty Ustawienia protokołu SSL w menu po lewej stronie.

  2. Wybierz istniejące profile SSL z wygasłym certyfikatem klienta.

  3. Wybierz pozycję Przekaż nowy certyfikat na karcie Uwierzytelnianie klienta i przekaż nowy certyfikat klienta.

  4. Wybierz ikonę kosza obok wygasłego certyfikatu. Spowoduje to usunięcie skojarzenia tego certyfikatu z profilu SSL.

  5. Powtórz kroki od 2 do 4 powyżej przy użyciu dowolnego innego profilu SSL, który używał tego samego wygasłego certyfikatu klienta. Możesz wybrać nowy certyfikat przekazany w kroku 3 z menu rozwijanego w innych profilach SSL.

Dalsze kroki

  • Last updated on