Udostępnij przez

Generowanie certyfikatu z podpisem własnym usługi Azure Application Gateway przy użyciu niestandardowego głównego urzędu certyfikacji

SKU Application Gateway v2 wprowadza użycie zaufanych certyfikatów głównych do umożliwienia połączeń TLS z serwerami zaplecza. Ta funkcja usuwa użycie certyfikatów uwierzytelniania (pojedynczych certyfikatów Leaf), które były wymagane w wersji 1 SKU. Certyfikat roota jest zakodowany w formacie Base-64 X.509 (.CER) z serwera certyfikatów zaplecza. Identyfikuje główny urząd certyfikacji, który wystawił certyfikat serwera, a certyfikat serwera jest następnie używany do komunikacji TLS/SSL.

Usługa Application Gateway ufa certyfikatowi witryny internetowej domyślnie, jeśli znany urząd certyfikacji (na przykład GoDaddy lub DigiCert) podpisuje go. Jawne przekazanie certyfikatu root nie jest wymagane w tym przypadku. Aby uzyskać więcej informacji, zobacz Omówienie zakończenia połączenia TLS i kompleksowe szyfrowanie TLS w usłudze Application Gateway. Jeśli jednak masz środowisko deweloperskie/testowe i nie chcesz kupować zweryfikowanego certyfikatu podpisanego przez urząd certyfikacji, możesz utworzyć własny niestandardowy główny urząd certyfikacji i certyfikat liścia podpisany przez ten główny urząd certyfikacji.

Note

Certyfikaty generowane samodzielnie nie są domyślnie zaufane i mogą być trudne do utrzymania. Ponadto mogą używać nieaktualnych zestawów skrótów i szyfrów, które nie są silne. Aby uzyskać lepsze zabezpieczenia, kup certyfikat podpisany przez dobrze znany urząd certyfikacji.

Użyj poniższych opcji, aby wygenerować certyfikat prywatny dla połączeń TLS zaplecza.

  1. Użyj narzędzia generatora certyfikatów prywatnych. Korzystając z podanej nazwy domeny (nazwa pospolita), to narzędzie wykonuje te same kroki, co opisane w tym artykule w celu wygenerowania certyfikatów głównych i serwerów. Za pomocą wygenerowanych plików certyfikatów można natychmiast przekazać certyfikat główny (.CER) do ustawień zaplecza bramy i odpowiedni łańcuch certyfikatów (.PFX) do serwera zaplecza. Hasło do pliku PFX jest również podane w pobranym pliku ZIP.

  2. Użyj poleceń OpenSSL, aby dostosować i wygenerować certyfikaty zgodnie z potrzebami. Postępuj zgodnie z instrukcjami w tym artykule, jeśli chcesz wykonać ten proces samodzielnie.

W tym artykule dowiesz się, jak:

  • Stwórz własny dedykowany urząd certyfikacji
  • Utwórz certyfikat samopodpisany podpisany przez własny urząd certyfikacji
  • Przekazywanie certyfikatu głównego z podpisem własnym do usługi Application Gateway w celu uwierzytelnienia serwera zaplecza

Prerequisites

Utwórz certyfikat główny urzędu certyfikacji

Utwórz certyfikat głównego urzędu certyfikacji przy użyciu protokołu OpenSSL.

Tworzenie klucza głównego

  1. Zaloguj się na komputerze, na którym jest zainstalowany program OpenSSL, i uruchom następujące polecenie. To polecenie tworzy zaszyfrowany klucz.

    openssl ecparam -out contoso.key -name prime256v1 -genkey

Utwórz certyfikat główny i podpisz go samodzielnie

  1. Użyj następującego polecenia, aby wygenerować żądanie podpisania certyfikatu (CSR).

    openssl req -new -sha256 -key contoso.key -out contoso.csr

  2. Po wyświetleniu monitu wpisz hasło klucza głównego oraz informacje organizacyjne dla niestandardowego urzędu certyfikacji, takie jak kraj/region, stan, organizacja, jednostka organizacyjna i w pełni kwalifikowana nazwa domeny (ta domena jest wystawcą).

    Zrzut ekranu przedstawiający tworzenie certyfikatu głównego.

  3. Użyj następującego polecenia, aby wygenerować certyfikat główny.

    openssl x509 -req -sha256 -days 365 -in contoso.csr -signkey contoso.key -out contoso.crt

    Poprzednie polecenia tworzą certyfikat główny. Ten certyfikat służy do podpisywania certyfikatu serwera.

Tworzenie certyfikatu serwera

Następnie należy utworzyć certyfikat serwera przy użyciu protokołu OpenSSL.

Tworzenie klucza certyfikatu

Użyj następującego polecenia, aby wygenerować klucz certyfikatu serwera.

openssl ecparam -out fabrikam.key -name prime256v1 -genkey

Tworzenie żądania CSR (żądanie podpisania certyfikatu)

Wniosek o certyfikat (CSR) to dokument zawierający klucz publiczny, który przekazuje się urzędowi certyfikacji podczas wnioskowania o certyfikat. Urząd certyfikacji wystawia certyfikat dla tego konkretnego żądania.

Note

Nazwa pospolita certyfikatu serwera musi być inna niż domena wystawcy. Na przykład w tym przypadku cn dla wystawcy jest www.contoso.com i certyfikat serwera CN to www.fabrikam.com.

  1. Użyj następującego polecenia, aby wygenerować csr:

    openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr

  2. Po wyświetleniu monitu wpisz hasło dla klucza korzenia oraz informacje organizacyjne dla niestandardowego CA: Kraj/Region, Stan, Organizacja, Jednostka organizacyjna i w pełni kwalifikowana nazwa domeny. Ta domena jest domeną witryny sieci Web i powinna być inna niż wystawca.

    Zrzut ekranu przedstawiający certyfikat serwera.

Generowanie certyfikatu przy użyciu certyfikatu CSR i klucza i podpisywanie go przy użyciu klucza głównego urzędu certyfikacji

  1. Użyj następującego polecenia, aby utworzyć certyfikat:

    openssl x509 -req -in fabrikam.csr -CA  contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256

Weryfikowanie nowo utworzonego certyfikatu

  1. Użyj następującego polecenia, aby wydrukować dane wyjściowe pliku CRT i zweryfikować jego zawartość:

    openssl x509 -in fabrikam.crt -text -noout

    Zrzut ekranu przedstawiający weryfikację certyfikatu.

  2. Sprawdź pliki w katalogu i upewnij się, że masz następujące pliki:

    • contoso.crt
    • contoso.key
    • fabrikam.crt
    • fabrikam.key

Konfigurowanie certyfikatu w ustawieniach protokołu TLS serwera internetowego

Na serwerze internetowym skonfiguruj protokół TLS przy użyciu plików fabrikam.crt i fabrikam.key. Jeśli serwer internetowy nie może pobrać dwóch plików, możesz połączyć je w jeden plik pem lub pfx przy użyciu poleceń OpenSSL.

IIS

Aby uzyskać instrukcje dotyczące importowania certyfikatu i przekazywania ich jako certyfikatu serwera w usługach IIS, zobacz HOW TO: Install Import Imported Certificates on a Web Server in Windows Server 2003 (Jak zainstalować zaimportowane certyfikaty na serwerze sieci Web w systemie Windows Server 2003).

Aby uzyskać instrukcje dotyczące powiązania protokołu TLS, zobacz How to Set Up SSL on IIS 7 (Jak skonfigurować protokół SSL w usługach IIS 7).

Apache

Poniższa konfiguracja to przykładowy host wirtualny skonfigurowany do obsługi protokołu SSL w systemie Apache:

<VirtualHost www.fabrikam:443>
      DocumentRoot /var/www/fabrikam
      ServerName www.fabrikam.com
      SSLEngine on
      SSLCertificateFile /home/user/fabrikam.crt
      SSLCertificateKeyFile /home/user/fabrikam.key
</VirtualHost>

NGINX

Poniższa konfiguracja to przykładowy blok serwera NGINX z konfiguracją protokołu TLS:

Zrzut ekranu przedstawiający serwer NGINX z protokołem TLS.

Uzyskiwanie dostępu do serwera przy użyciu certyfikatu z podpisem własnym

  1. Dodaj certyfikat główny do zaufanego głównego magazynu certyfikatów na swojej maszynie. Podczas uzyskiwania dostępu do witryny internetowej upewnij się, że cały łańcuch certyfikatów jest widoczny w przeglądarce.

    Zrzut ekranu przedstawiający zaufane certyfikaty główne.

    Note

    DNS należy skonfigurować tak, aby www.fabrikam.com wskazywał nazwę serwera internetowego (w tym przykładzie) na adres IP serwera internetowego. Jeśli nie, możesz edytować plik hostów, aby rozwiązać nazwę.

  2. Przejdź do witryny internetowej i kliknij ikonę blokady w polu adresu przeglądarki, aby zweryfikować informacje o witrynie i certyfikacie.

Weryfikowanie konfiguracji za pomocą protokołu OpenSSL

Możesz też użyć protokołu OpenSSL do zweryfikowania certyfikatu.

openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts

Zrzut ekranu przedstawiający weryfikację certyfikatu OpenSSL.

Prześlij certyfikat główny do ustawień HTTP usługi Application Gateway

Aby przekazać certyfikat w usłudze Application Gateway, należy wyeksportować certyfikat .crt do formatu .cer zakodowanego jako Base-64. Ponieważ plik crt zawiera już klucz publiczny w formacie zakodowanym w formacie base-64, po prostu zmień nazwę rozszerzenia pliku z crt na .cer.

Azure Portal

Aby załadować zaufany certyfikat główny z portalu, wybierz pozycję Ustawienia zaplecza i wybierz pozycję HTTPS w protokole zaplecza.

Zrzut ekranu przedstawiający dodawanie certyfikatu przy użyciu portalu.

Azure PowerShell

Możesz też użyć interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell, aby przekazać certyfikat główny. Poniższy kod jest przykładem programu Azure PowerShell.

Note

Poniższy przykład dodaje zaufany certyfikat główny do bramy aplikacyjnej, tworzy nowe ustawienie HTTP i dodaje nową regułę, zakładając, że pula zaplecza i odbiornik już istnieją.

## Add the trusted root certificate to the Application Gateway

$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOne

Add-AzApplicationGatewayTrustedRootCertificate `
   -ApplicationGateway $gw `
   -Name CustomCARoot `
   -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"

$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate `
   -Name CustomCARoot `
   -ApplicationGateway $gw

## Get the listener, backend pool and probe

$listener = Get-AzApplicationGatewayHttpListener `
   -Name basichttps `
   -ApplicationGateway $gw

$bepool = Get-AzApplicationGatewayBackendAddressPool `
  -Name testbackendpool `
  -ApplicationGateway $gw

Add-AzApplicationGatewayProbeConfig `
  -ApplicationGateway $gw `
  -Name testprobe `
  -Protocol Https `
  -HostName "www.fabrikam.com" `
  -Path "/" `
  -Interval 15 `
  -Timeout 20 `
  -UnhealthyThreshold 3

$probe = Get-AzApplicationGatewayProbeConfig `
  -Name testprobe `
  -ApplicationGateway $gw

## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field
## to the domain name of the server certificate as this will be set as the SNI header and
## will be used to verify the backend server's certificate. Note that TLS handshake will
## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probes

Add-AzApplicationGatewayBackendHttpSettings `
  -ApplicationGateway $gw `
  -Name testbackend `
  -Port 443 `
  -Protocol Https `
  -Probe $probe `
  -TrustedRootCertificate $trustedroot `
  -CookieBasedAffinity Disabled `
  -RequestTimeout 20 `
  -HostName www.fabrikam.com

## Get the configuration and update the Application Gateway

$backendhttp = Get-AzApplicationGatewayBackendHttpSettings `
  -Name testbackend `
  -ApplicationGateway $gw

Add-AzApplicationGatewayRequestRoutingRule `
  -ApplicationGateway $gw `
  -Name testrule `
  -RuleType Basic `
  -BackendHttpSettings $backendhttp `
  -HttpListener $listener `
  -BackendAddressPool $bepool

Set-AzApplicationGateway -ApplicationGateway $gw

Weryfikowanie kondycji komponentów zaplecza bramy aplikacji

  1. Wybierz widok Backend Health swojej bramy aplikacji, aby sprawdzić, czy sonda jest zdrowa.
  2. Powinieneś zobaczyć, że status sondy HTTPS jest Zdrowy.

Zrzut ekranu przedstawiający sondę HTTPS.

Dalsze kroki

Aby dowiedzieć się więcej na temat protokołu SSL\TLS w usłudze Application Gateway, zobacz Omówienie kończenia żądań protokołu TLS i kompleksowego szyfrowania TLS za pomocą usługi Application Gateway.

  • Last updated on