Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para executar o TLS de ponta a ponta, o Gateway de Aplicativo exige que as instâncias de back-end tenham permissão de carregar certificados raiz confiáveis ou de autenticação. Para o SKU v1, são necessários certificados de autenticação, enquanto para o SKU v2, são necessários certificados raiz confiáveis para permitir o uso dos certificados.
Neste artigo, você aprenderá a:
- Exportar certificado de autenticação de um certificado de back-end (para SKU v1)
- Exportar certificado raiz confiável de um certificado de back-end (para SKU v2)
Pré-requisitos
Um certificado de back-end existente é necessário para gerar os certificados de autenticação ou certificados raiz confiáveis necessários para permitir instâncias de back-end com o Gateway de Aplicativo. O certificado de back-end pode ser o mesmo que o certificado TLS/SSL ou diferente para a segurança adicionada. O Gateway de Aplicativo não fornece nenhum mecanismo para criar ou comprar um certificado TLS/SSL. Para fins de teste, você pode criar um certificado autoassinado, mas não deve usá-lo para cargas de trabalho de produção.
Exportar certificado de autenticação (para SKU v1)
Um certificado de autenticação é necessário para permitir instâncias de back-end no SKU do Gateway de Aplicativo v1. O certificado de autenticação é a chave pública dos certificados de servidor de back-end no formato X.509 codificado em Base-64 (.CER). Neste exemplo, você usará um certificado TLS/SSL para o certificado de back-end e exportará sua chave pública para ser usada como certificação de autenticação. Além disso, neste exemplo, você usará a ferramenta Gerenciador de Certificados do Windows para exportar os certificados necessários. Você pode optar por usar qualquer outra ferramenta conveniente.
Do certificado TLS/SSL, exporte o arquivo de chave pública .cer (não a chave privada). As etapas a seguir ajudam você a exportar o arquivo .cer no formato X.509 codificado em Base-64 (.CER) do seu certificado:
Para obter um arquivo .cer do certificado, abra Gerenciar certificados de usuário. Localize o certificado (normalmente em 'Certificados - Usuário Atual\Pessoal\Certificados') e clique com o botão direito do mouse. Clique em Todas as Tarefas e, em seguida, clique em Exportar. Isso abre o Assistente de Exportação de Certificados. Se você quiser abrir o Gerenciador de Certificados no escopo do usuário atual usando o PowerShell, digite certmgr na janela do console.
Observação
Se você não conseguir encontrar o certificado em Usuário Atual\Pessoal\Certificados, poderá ter aberto acidentalmente "Certificados – Computador Local" em vez de "Certificados – Usuário Atual").
No Assistente, clique em Avançar.
Selecione Não, não exporte a chave privada e clique em Avançar.
Na página Exportar Formato de Arquivo , selecione X.509 codificado em Base 64 (. CER).e clique em Avançar.
Para Exportar Arquivo, navegue até o local para o qual você deseja exportar o certificado. Para o nome do arquivo, nomeie o arquivo de certificado. Em seguida, clique em Avançar.
Clique em Concluir para exportar o certificado.
Seu certificado é exportado com êxito.
O certificado exportado é semelhante a este:
Se você abrir o certificado exportado usando o Bloco de Notas, verá algo semelhante a este exemplo. A seção em azul contém as informações carregadas no gateway de aplicativo. Se você abrir seu certificado com o Bloco de Notas e ele não for semelhante a este, isso normalmente significa que você não o exportou usando o formato X.509 codificado em Base-64 (.CER). Além disso, se você quiser usar um editor de texto diferente, entenda que alguns editores podem introduzir a formatação não intencional em segundo plano. Isso pode criar problemas quando o texto desse certificado é carregado para o Azure.
Exportar certificado raiz confiável (para SKU v2)
O certificado raiz confiável é necessário para permitir instâncias de back-end no SKU do Application Gateway v2. O certificado raiz tem um formato de codificação Base 64 X.509(.CER) do servidor de certificados back-end. Neste exemplo, usaremos um certificado TLS/SSL para o certificado de servidor, exportaremos sua chave pública e, em seguida, exportaremos o certificado raiz da AC confiável a partir da chave pública no formato codificado em base64, para obter assim o certificado raiz confiável. Os certificados intermediários devem ser agrupados com o certificado do servidor e instalados no servidor de back-end.
As etapas a seguir ajudam você a exportar o arquivo .cer para seu certificado:
Use as etapas 1 a 8 mencionadas na seção anterior Exportar certificado de autenticação (para v1 SKU) para exportar a chave pública do certificado de back-end.
Depois que a chave pública tiver sido exportada, abra o arquivo.
Vá para a visualização Caminho de Certificação para exibir a autoridade certificadora.
Selecione o certificado raiz e clique em Exibir Certificado.
Você deverá visualizar os detalhes do certificado raiz.
Vá para o modo de exibição Detalhes e clique em Copiar para Arquivo...
Neste ponto, você extraiu os detalhes do certificado raiz do certificado de back-end. Você verá o Assistente de Exportação de Certificados. Agora, use as etapas 2 a 9 mencionadas na seção Exportar certificado de autenticação de um certificado de back-end (para SKU v1) acima para exportar o certificado raiz confiável no X.509 codificado em Base 64 (.CER).
Próximas etapas
Agora você tem o certificado de autenticação ou certificado raiz confiável no formato X.509 codificado em Base-64 (.CER). Você pode adicioná-lo ao gateway de aplicação para permitir a criptografia TLS de ponta a ponta em seus servidores de back-end. Consulte Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell.