Udostępnij przez

Twórz certyfikaty do obsługi zaplecza za pomocą usługi Azure Application Gateway

W celu zapewnienia realizacji protokołu TLS od końca do końca, usługa Application Gateway wymaga upoważnienia instancji zaplecza poprzez przesłanie certyfikatów uwierzytelniających/zaufanych certyfikatów głównych. W przypadku wersji 1 jednostki SKU wymagane są certyfikaty uwierzytelniania, ale dla wersji 2 jednostki SKU wymagane są zaufane certyfikaty główne, aby umożliwić ich walidację.

Z tego artykułu dowiesz się, jak wykonywać następujące działania:

  • Eksportowanie certyfikatu uwierzytelniania z certyfikatu zaplecza (dla jednostki SKU w wersji 1)
  • Eksportowanie zaufanego certyfikatu głównego z certyfikatu zaplecza (dla SKU w wersji 2)

Wymagania wstępne

Istniejący certyfikat zaplecza jest wymagany do wygenerowania certyfikatów uwierzytelniania lub zaufanych certyfikatów głównych wymaganych do zezwalania na wystąpienia zaplecza w usłudze Application Gateway. Certyfikat zaplecza może być taki sam jak certyfikat TLS/SSL lub inny w przypadku dodanych zabezpieczeń. Usługa Application Gateway nie zapewnia żadnego mechanizmu tworzenia ani kupowania certyfikatu TLS/SSL. W celach testowych można utworzyć certyfikat z podpisem własnym, ale nie należy go używać w przypadku obciążeń produkcyjnych.

Eksportowanie certyfikatu uwierzytelniania (dla jednostki SKU w wersji 1)

Certyfikat uwierzytelniania jest wymagany, aby zezwolić na instancje zaplecza w Application Gateway v1 SKU. Certyfikat uwierzytelniania jest kluczem publicznym certyfikatów serwerów backendowych w formacie X.509 (.CER) zakodowanym w Base-64. W tym przykładzie użyjesz certyfikatu TLS/SSL dla certyfikatu zaplecza i wyeksportujesz jego klucz publiczny do użycia jako certyfikat uwierzytelniania. Ponadto w tym przykładzie użyjesz narzędzia Menedżer certyfikatów systemu Windows do wyeksportowania wymaganych certyfikatów. Możesz użyć dowolnego innego narzędzia, które jest wygodne.

Z poziomu certyfikatu TLS/SSL wyeksportuj plik .cer klucza publicznego (a nie klucz prywatny). Dla Twojego certyfikatu, poniższe kroki ułatwiają eksport pliku .cer w formacie zakodowanym Base-64 X.509 (.CER).

  1. Aby uzyskać plik .cer z certyfikatu, otwórz pozycję Zarządzaj certyfikatami użytkowników. Znajdź certyfikat (zazwyczaj w obszarze Certyfikaty — bieżący użytkownik\Osobiste\Certyfikaty) i kliknij prawym przyciskiem myszy. Kliknij pozycję Wszystkie zadania, a następnie kliknij przycisk Eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów. Jeśli chcesz otworzyć Menedżera certyfikatów w bieżącym zakresie użytkownika przy użyciu PowerShell, wpisz certmgr w oknie konsoli.

    Uwaga

    Jeśli nie możesz znaleźć certyfikatu w obszarze Bieżący użytkownik\Osobiste\Certyfikaty, być może przypadkowo otwarto "Certyfikaty — komputer lokalny", a nie "Certyfikaty — bieżący użytkownik").

    Zrzut ekranu przedstawiający Menedżera certyfikatów z wybraną pozycją Certyfikaty i menu kontekstowe z pozycją Wszystkie zadania, a następnie wybierz pozycję Eksportuj.

  2. Kliknij Dalej w Kreatorze.

    Eksportowanie certyfikatu

  3. Wybierz pozycję Nie, nie eksportuj klucza prywatnego, a następnie kliknij przycisk Dalej.

    Nie eksportuj klucza prywatnego

  4. Na stronie Eksportuj format pliku wybierz pozycję X.509 zakodowany w formacie Base-64 (. CER)., a następnie kliknij przycisk Dalej.

    Kodowane w formacie Base-64

  5. Dla Plik do eksportu użyj Przeglądaj, aby przejść do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawia Kreatora eksportu certyfikatów, w którym określasz plik do wyeksportowania.

  6. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

    Zrzut ekranu przedstawia Kreatora eksportu certyfikatów po zakończeniu eksportowania pliku.

  7. Certyfikat został pomyślnie wyeksportowany.

    Zrzut ekranu przedstawiający Kreatora eksportu certyfikatów z komunikatem potwierdzającym sukces.

    Wyeksportowany certyfikat wygląda podobnie do następującego:

    Zrzut ekranu przedstawia symbol certyfikatu.

  8. Jeśli otworzysz wyeksportowany certyfikat przy użyciu Notatnika, zobaczysz coś podobnego do tego przykładu. Sekcja na niebiesko zawiera informacje przekazywane do bramy aplikacji. Jeśli otworzysz swój certyfikat w Notatniku i nie wygląda on podobnie do tego, zazwyczaj oznacza to, że nie został on wyeksportowany w formacie kodowania Base-64 w X.509 (.CER). Ponadto, jeśli chcesz użyć innego edytora tekstów, należy pamiętać, że niektóre edytory mogą wprowadzać niezamierzone formatowanie w tle. Może to powodować problemy podczas przekazywania tekstu z tego certyfikatu na platformę Azure.

    Otwórz za pomocą Notatnika

Eksportowanie zaufanego certyfikatu głównego (dla SKU w wersji 2)

Zaufany certyfikat główny jest wymagany, aby umożliwić działanie instancji zaplecza w wersji 2 SKU bramy aplikacji. Certyfikat główny to certyfikat główny w formacie X.509 (.CER) zakodowany w Base-64, pochodzący z certyfikatów serwera zaplecza. W tym przykładzie użyjemy certyfikatu TLS/SSL dla certyfikatu zaplecza, wyeksportujemy jego klucz publiczny, a następnie wyeksportujemy certyfikat główny zaufanego urzędu certyfikacji z klucza publicznego w formacie zakodowanym w formacie base64, aby uzyskać zaufany certyfikat główny. Certyfikaty pośrednie powinny być powiązane z certyfikatem serwera i zainstalowane na serwerze zaplecza.

Poniższe kroki ułatwiają wyeksportowanie pliku .cer dla certyfikatu:

  1. Wykonaj kroki 1 – 8 wymienione w poprzedniej sekcji Eksportowanie certyfikatu uwierzytelniania (dla jednostki SKU w wersji 1), aby wyeksportować klucz publiczny z certyfikatu zaplecza.

  2. Po wyeksportowaniu klucza publicznego otwórz plik.

    Otwórz certyfikat autoryzacji

    informacje o certyfikacie

  3. Przejdź do widoku Ścieżka certyfikacji, aby wyświetlić urząd certyfikacji.

    Szczegóły certyfikatu

  4. Wybierz certyfikat główny i kliknij pozycję Wyświetl certyfikat.

    Ścieżka certyfikatu

    Powinny zostać wyświetlone szczegóły certyfikatu głównego.

    informacje o certyfikatach

  5. Przejdź do widoku Szczegóły i kliknij przycisk Kopiuj do pliku...

    kopiowanie certyfikatu głównego

  6. W tym momencie wyodrębniono szczegóły certyfikatu głównego z certyfikatu zaplecza. Zostanie wyświetlony Kreator eksportu certyfikatów. Teraz wykonaj kroki 2–9 wymienione w poprzedniej sekcji Eksportowanie certyfikatu uwierzytelniania z certyfikatu zaplecza (dla jednostki SKU w wersji 1), aby wyeksportować zaufany certyfikat główny w formacie X.509 (.CER) zakodowanym jako Base-64.

Następne kroki

Teraz masz certyfikat uwierzytelniania lub zaufany certyfikat główny w formacie Base-64 zakodowanego X.509 (.CER). Możesz dodać je do bramy aplikacji, aby umożliwić serwerom zaplecza kompleksowe szyfrowanie TLS. Zobacz Konfigurowanie kompleksowego protokołu TLS przy użyciu usługi Application Gateway z programem PowerShell.

  • Last updated on