Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para realizar TLS de ponta a ponta, o Application Gateway exige que as instâncias de back-end sejam autorizadas através do carregamento de certificados de autenticação/raiz confiáveis. Para o SKU v1, os certificados de autenticação são necessários, mas para o SKU v2 são necessários certificados raiz confiáveis para permitir os certificados.
Neste artigo, você aprenderá a:
- Exportar um certificado de autenticação de um certificado backend (para SKU v1)
- Exportar certificado raiz confiável de um certificado de back-end (para SKU v2)
Pré-requisitos
Um certificado de back-end existente é necessário para gerar os certificados de autenticação ou certificados raiz confiáveis necessários para permitir instâncias de back-end com o Application Gateway. O certificado de back-end pode ser o mesmo que o certificado TLS/SSL ou diferente para maior segurança. O Application Gateway não fornece nenhum mecanismo para criar ou comprar um certificado TLS/SSL. Para fins de teste, você pode criar um certificado autoassinado, mas não deve usá-lo para cargas de trabalho de produção.
Exportar certificado de autenticação (para SKU v1)
É necessário um certificado de autenticação para autorizar instâncias de back-end na SKU do Application Gateway v1. O certificado de autenticação é a chave pública dos certificados do servidor back-end no formato X.509(.CER) codificado em Base-64. Neste exemplo, você usará um certificado TLS/SSL para o certificado de back-end e exportará sua chave pública para ser usada como certificação de autenticação. Além disso, neste exemplo, você usará a ferramenta Gerenciador de Certificados do Windows para exportar os certificados necessários. Você pode optar por usar qualquer outra ferramenta que seja conveniente.
A partir do seu certificado TLS/SSL, exporte o ficheiro de .cer de chave pública (não a chave privada). As etapas a seguir ajudam a exportar o ficheiro .cer no formato X.509 (.CER) codificado em Base-64 para o seu certificado:
Para obter um arquivo de .cer do certificado, abra Gerenciar certificados de usuário. Localize o certificado (normalmente em 'Certificados - Usuário Atual\Pessoal\Certificados') e clique com o botão direito do mouse. Clique em Todas as Tarefas e, em seguida, clique em Exportar. Esta ação abre o Assistente para Exportar Certificados. Se quiser abrir o Gerenciador de Certificados no escopo de usuário atual usando o PowerShell, digite certmgr na janela do console.
Observação
Se não conseguir encontrar o certificado em Utilizador Atual\Pessoal\Certificados, poderá ter aberto acidentalmente "Certificados - Computador Local" em vez de "Certificados - Utilizador Atual").
No Assistente, clique em Avançar.
Selecione Não, não exportar a chave privada e clique em Avançar.
Na página Formato de Arquivo de Exportação , selecione X.509 codificado em Base-64 (. CER)., e clique em Avançar.
Em Arquivo a Exportar, Navegue até o local para o qual deseja exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Em seguida, clique em Seguinte.
Clique em Concluir para exportar o certificado.
O seu certificado foi exportado com sucesso.
O certificado exportado é semelhante a este:
Se você abrir o certificado exportado usando o Bloco de Notas, verá algo semelhante a este exemplo. A seção em azul contém as informações que são carregadas no gateway de aplicativo. Se abrir o seu certificado com o Bloco de Notas e ele não tiver um aspeto semelhante a este, isso geralmente significa que não o exportou usando o formato Base-64 encoded X.509 (.CER). Além disso, se você quiser usar um editor de texto diferente, entenda que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao carregar o texto desse certificado no Azure.
Exportar certificado raiz fidedigno (para SKU v2)
O certificado raiz fiável é necessário para autorizar instâncias de back-end no SKU do gateway de aplicações v2. O certificado raiz é um certificado raiz X.509 (.CER) no formato Base-64 codificado dos certificados do servidor backend. Neste exemplo, usaremos um certificado TLS/SSL para o certificado de back-end, exportaremos sua chave pública e, em seguida, exportaremos o certificado raiz da CA confiável da chave pública no formato codificado base64 para obter o certificado raiz confiável. O(s) certificado(s) intermediário(s) deve(m) ser empacotado(s) com o certificado do servidor e instalado no servidor back-end.
As etapas a seguir ajudam a exportar o arquivo de .cer para seu certificado:
Use as etapas 1 a 8 mencionadas na seção anterior Exportar certificado de autenticação (para SKU v1) para exportar a chave pública do seu certificado de back-end.
Depois que a chave pública tiver sido exportada, abra o arquivo.
Vá para a visualização Caminho de Certificação para exibir a autoridade de certificação.
Selecione o certificado raiz e clique em Exibir certificado.
Você deve ver os detalhes do certificado raiz.
Vá para a vista Detalhes e clique em Copiar para Ficheiro...
Neste ponto, você extraiu os detalhes do certificado raiz do certificado de back-end. Você verá o Assistente para Exportação de Certificados. Agora, use as etapas 2 a 9 mencionadas na seção anterior Exportar certificado de autenticação de um certificado de back-end (para SKU v1) para exportar o certificado raiz fidedigno no formato codificado em Base-64 X.509 (.CER).
Próximos passos
Agora você tem o certificado de autenticação/certificado raiz confiável em Base-64 codificado X.509(. CER). Você pode adicioná-lo ao gateway de aplicativo para permitir que seus servidores back-end criem criptografia TLS de ponta a ponta. Consulte Configurar TLS de ponta a ponta usando o Application Gateway com PowerShell.