Tutorial: Configurar um Gateway de Aplicativo com terminação TLS usando o portal do Azure

Você pode usar o portal do Azure para configurar um gateway de aplicativo com um certificado para terminação TLS que usa máquinas virtuais para servidores de back-end.

Neste tutorial, você aprenderá como:

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

• Uma assinatura do Azure

Criar um certificado autoassinado

Nesta seção, você usará New-SelfSignedCertificate para criar um certificado autoassinado. Faça upload do certificado para o portal do Azure ao criar o ouvinte para o gateway de aplicativo.

No computador local, abra uma janela do Windows PowerShell como administrador. Execute o seguinte comando para criar o certificado:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Você deverá ver uma resposta semelhante a esta:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Use o Export-PfxCertificate com a impressão digital que foi retornada para exportar um arquivo pfx do certificado. Os algoritmos PFX com suporte são listados na função PFXImportCertStore. Verifique se a senha tem de 4 a 12 caracteres:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Entrar no Azure

Entre no portal do Azure.

Criar um Gateway de Aplicativo

1. No menu do portal do Azure, selecione + Criar um recurso>Rede>Gateway de Aplicativo ou pesquise Gateway de Aplicativo na caixa de pesquisa do portal.

2. Selecione Criar.

Guia Básico

1. Na guia Noções básicas, insira ou selecione estes valores:

   • Grupo de recursos: selecione myResourceGroupAG para o grupo de recursos. Se ele não existir, selecione Criar novo para criá-lo.

   • Nome do gateway de aplicativo: insira myAppGateway para o nome do gateway de aplicativo.

     

2. Para que o Azure se comunique entre os recursos que você cria, ele precisa de uma rede virtual. Você pode criar uma nova rede virtual ou usar uma existente. Neste exemplo, você criará uma nova rede virtual ao mesmo tempo em que criará o gateway de aplicativo. As instâncias do Gateway de Aplicativo são criadas em sub-redes separadas. Crie duas sub-redes neste exemplo: uma para o gateway de aplicativo e outra para os servidores de back-end.

   Em Configurar rede virtual, crie uma nova rede virtual selecionando Criar nova. Na janela Criar rede virtual que é aberta, insira os seguintes valores para criar a rede virtual e duas sub-redes:

   • Nome: insira myVNet para o nome da rede virtual.

   • Nome da sub-rede (sub-rede do Gateway de Aplicativo): A grade Sub-redes mostrará uma sub-rede chamada Padrão. Altere o nome dessa sub-rede para myAGSubnet.
     A sub-rede de gateway de aplicativo pode conter apenas gateways de aplicativo. Nenhum outro recurso é permitido.

   • Nome da sub-rede (sub-rede do servidor backend): na segunda linha da grade Subnets, insira myBackendSubnet na coluna Nome da sub-rede.

   • Intervalo de endereços (sub-rede do servidor back-end): na segunda linha da grade Sub-redes, insira um intervalo de endereços que não se sobreponha ao intervalo de endereços de myAGSubnet. Por exemplo, se o intervalo de endereços de myAGSubnet for 10.0.0.0/24, insira 10.0.1.0/24 para o intervalo de endereços de myBackendSubnet.

   Selecione OK para fechar a janela Criar rede virtual e salvar as configurações de rede virtual.

   

3. Na guia Noções básicas , aceite os valores padrão para as outras configurações e selecione Avançar: Front-ends.

Guia Front-ends

1. Na guia Front-ends, verifique se Tipo de endereço IP do front-end está definido como Público.
   Você pode configurar o IP de Front-end para ser público ou privado de acordo com seu caso de uso. Neste exemplo, você escolherá um IP de Front-end Público.

   Observação

   Para a SKU do Gateway de Aplicativo v2, você só pode escolher a configuração de IP de front-end Pública. Atualmente, a configuração de IP de front-end privado não está habilitada para este SKU v2.

2. Escolha Adicionar novo para o endereço IP público e insira myAGPublicIPAddress para o nome do endereço IP público e selecione OK.

   

3. Selecione Avançar: Back-ends.

Guia Back-ends

O pool de back-end é usado para encaminhar solicitações aos servidores back-end que atendem à solicitação. Os pools de back-end podem ser compostos por NICs, conjuntos de dimensionamento de máquinas virtuais, IPs públicos, IPs internos, FQDN (nomes de domínio totalmente qualificados) e back-ends multilocatários, como o Serviço de Aplicativo do Azure. Neste exemplo, você criará um pool de back-end vazio com o gateway de aplicativo e, em seguida, adicionará destinos de back-end ao pool de back-end.

1. Na guia Back-ends, selecione Adicionar um pool de back-end.

2. Na janela Adicionar um pool de back-end que é aberta, insira os seguintes valores para criar um pool de back-end vazio:

   • Nome: insira myBackendPool para o nome do pool de back-end.
   • Adicionar pool de back-end sem destinos: selecione Sim para criar um pool de back-end sem destinos. Você adicionará destinos de back-end após criar o gateway de aplicação.

3. Na janela Adicionar um pool de back-end , selecione Adicionar para salvar a configuração do pool de back-end e retorne à guia Back-ends .

   

4. Na guia Back-ends, selecione Avançar: Configuração.

Guia Configuração

Na guia Configuração , você conectará o front-end e o pool de back-end que você criou usando uma regra de roteamento.

1. Selecione Adicionar uma regra de roteamento na coluna regras de roteamento .

2. Na janela Adicionar uma regra de roteamento que é aberta, insira myRoutingRule para o nome da regra.

3. Uma regra de roteamento requer um ouvinte. Na guia Ouvinte dentro da janela Adicionar uma regra de roteamento , insira os seguintes valores para o ouvinte:

   • Nome do ouvinte: insira myListener para o nome do ouvinte.
   • IP de front-end: selecione Público para escolher o IP público que você criou para o front-end.
   • Protocolo: selecione HTTPS.
   • Porta: verifique se o 443 foi inserido para a porta.

   Em Configurações de HTTPS:

   • Escolha um certificado – Selecione Carregar um certificado.

   • Arquivo de certificado PFX – Navegue até e selecione o arquivo c:\appgwcert.pfx criado anteriormente.

   • Nome do certificado – Digite mycert1 para o nome do certificado.

   • Senha – digite a senha usada para criar o certificado.

     Aceite os valores padrão para as outras configurações na guia Ouvinte e, em seguida, selecione a guia Destinos de back-end para configurar o restante da regra de roteamento.

   

4. Na guia Destinos de back-end, selecione myBackendPool para Destino de back-end.

5. Para a configuração HTTP, selecione Adicionar novo para criar uma nova configuração HTTP. A configuração HTTP determinará o comportamento da regra de roteamento. Na janela Adicionar uma configuração HTTP que é aberta, insira myHTTPSetting para o nome da configuração HTTP. Aceite os valores padrão para as outras configurações na janela Adicionar uma configuração HTTP e selecione Adicionar para retornar à janela Adicionar uma regra de roteamento .

   

6. Na janela Adicionar uma regra de roteamento , selecione Adicionar para salvar a regra de roteamento e retorne à guia Configuração .

   

7. Selecione Avançar: Marcas e depois Avançar: Revisar + criar.

Guia Examinar + criar

Examine as configurações na guia Examinar + criar e, em seguida, selecione Criar para criar a rede virtual, o endereço IP público e o gateway de aplicativo. Pode levar vários minutos para o Azure criar o gateway de aplicativo. Aguarde até que a implantação seja concluída com êxito antes de passar para a próxima seção.

Adicionar destinos de back-end

Neste exemplo, você usará máquinas virtuais como o back-end de destino. Você pode usar máquinas virtuais existentes ou criar novas. Você criará duas máquinas virtuais que o Azure usa como servidores de back-end para o gateway de aplicativo.

Para fazer isso, você vai:

1. Crie duas novas VMs, myVM e myVM2, para serem usadas como servidores de back-end.
2. Instale o IIS nas máquinas virtuais para verificar se o gateway de aplicativo foi criado com êxito.
3. Adicione os servidores de back-end ao pool de back-end.

Criar uma máquina virtual

1. No menu do portal do Azure, selecione + Criar um recurso>Computação>Windows Server 2016 Datacenter, ou pesquise Windows Server na caixa de pesquisa do portal e selecione Windows Server 2016 Datacenter.

2. Selecione Criar.

   O Gateway de Aplicações pode rotear o tráfego para qualquer tipo de máquina virtual usada no seu pool de back-end. Neste exemplo, você usa um Datacenter do Windows Server 2016.

3. Insira esses valores na guia Noções básicas para as seguintes configurações de máquina virtual:

   • Grupo de recursos: selecione myResourceGroupAG para o nome do grupo de recursos.
   • Nome da máquina virtual: insira myVM para o nome da máquina virtual.
   • Nome de usuário: insira um nome para o nome de usuário do administrador.
   • Senha: insira uma senha para a conta de administrador.

4. Aceite os outros padrões e selecione Avançar: Discos.

5. Aceite os padrões da guia Discos e selecione Avançar: Rede.

6. Na guia Rede , verifique se myVNet está selecionado para a rede virtual e se a sub-rede está definida como myBackendSubnet. Aceite os outros padrões e selecione Avançar: Gerenciamento.

   O Gateway de Aplicativo pode se comunicar com instâncias fora da rede virtual em que ele está, mas você precisa garantir que haja conectividade IP.

7. Na guia Gerenciamento, defina o diagnóstico de inicialização como Desabilitar. Aceite os outros padrões e selecione Examinar + criar.

8. Na guia Revisar + criar, examine as configurações, corrija os erros de validação e selecione Criar.

9. Aguarde a implantação ser concluída antes de continuar.

Instalar IIS para teste

Neste exemplo, você instala o IIS nas máquinas virtuais apenas para verificar se o Azure criou o gateway de aplicativo com êxito.

1. Abra o Azure PowerShell. Para fazer isso, selecione o Cloud Shell na barra de navegação superior do portal do Azure e selecione o PowerShell na lista suspensa.

   

2. Altere a configuração de local do seu ambiente e execute o seguinte comando para instalar o IIS na máquina virtual:

          Set-AzVMExtension `
            -ResourceGroupName myResourceGroupAG `
            -ExtensionName IIS `
            -VMName myVM `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location <location>
   

3. Crie uma segunda máquina virtual e instale o IIS usando as etapas que você concluiu anteriormente. Utilize myVM2 para o nome da máquina virtual e para a configuração do parâmetro VMName do cmdlet Set-AzVMExtension.

Adicionar servidores back-end ao pool de back-end

1. Selecione Todos os recursos e, em seguida, selecione myAppGateway.

2. Selecione Pools de back-end no menu à esquerda.

3. Selecione myBackendPool.

4. Em Tipo de destino, selecione Máquina virtual na lista suspensa.

5. Em Destino, selecione o adaptador de rede em myVM na lista suspensa.

6. Repita para adicionar o adaptador de rede para myVM2.

   

7. Clique em Salvar.

8. Aguarde a conclusão da implantação antes de prosseguir para a próxima etapa.

Testar o gateway de aplicativo

1. Selecione Todos os recursos e selecione myAGPublicIPAddress.

   

2. Na barra de endereços do navegador, digite https://< o endereço> ip do gateway de aplicativo.

   Para aceitar o aviso de segurança se você usou um certificado autoassinado, selecione Detalhes (ou Avançado no Chrome) e vá para a página da Web:

   

   O site seguro do IIS é exibido como no exemplo a seguir:

   

Limpar os recursos

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos relacionados. Para fazer isso, selecione o grupo de recursos e selecione Excluir grupo de recursos.

Próximas etapas

Neste tutorial, você:

• Criou um certificado autoassinado
• Criou um gateway de aplicativo com o certificado

Para saber mais sobre o suporte ao TLS do Gateway de Aplicativo, consulte TLS de ponta a ponta com o Gateway de Aplicativo e a política TLS do Gateway de Aplicativo.

Para saber como criar e configurar um Gateway de Aplicativo para hospedar vários sites usando o portal do Azure, avance para o próximo tutorial.