共用方式為

使用應用程式閘道和 Azure 入口網站來設定端對端 TLS

本文說明如何使用 Azure 入口網站,透過 Azure 應用程式閘道 v1 SKU 設定端對端傳輸層安全性 (TLS) 加密,先前稱為安全通訊端層 (SSL) 加密。

備註

應用程式入口 v2 SKU 需要受信任的根憑證,才能啟用端對端設定。

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

開始之前

若要使用應用程式閘道設定端對端 TLS,您需要閘道的憑證。 後端伺服器也需要憑證。 閘道憑證可用來衍生符合 TLS 通訊協定規格的對稱金鑰。 然後,對稱金鑰用於加密和解密傳送到閘道的流量。

針對端對端 TLS 加密,應用程式閘道中必須允許正確的後端伺服器。 若要允許此存取,請將後端伺服器的公用憑證 (也稱為驗證憑證 (v1) 或受信任的根憑證 (v2) ) 上傳至應用程式閘道。 新增憑證可確保應用程式閘道僅與已知的後端執行個體通訊。 此配置進一步保護了端對端通訊。

這很重要

如果您收到後端伺服器憑證的錯誤訊息,請確認前端憑證 Common Name (CN) 符合後端憑證 CN。 如需詳細資訊,請參閱 受信任的根憑證不相符

若要深入了解,請參閱應用程式閘道的 TLS 終止和端對端 TLS 概觀

使用端對端 TLS 建立新的應用程式閘道

若要使用端對端 TLS 加密建立新的應用程式閘道,您必須在建立新的應用程式閘道時先啟用 TLS 終止。 此動作會啟用用戶端與應用程式閘道之間通訊的 TLS 加密。 然後,您需要在 HTTP 設定中將後端伺服器的憑證放在安全收件者清單中。 此設定可啟用應用程式閘道與後端伺服器之間通訊的 TLS 加密。 這完成了端對端 TLS 加密。

在建立新的應用程式閘道時啟用 TLS 終止

若要深入瞭解,請參閱 在建立新的應用程式閘道時啟用 TLS 終止

新增後端伺服器的驗證/根憑證

  1. 選取 [ 所有資源],然後選取 [myAppGateway]。

  2. 從左側功能表中選取 HTTP 設定 。 當您建立應用程式閘道時,Azure 會自動建立預設 HTTP 設定 appGatewayBackendHttpSettings

  3. 選取 appGatewayBackendHttpSettings

  4. [通訊協定] 底下,選取 [HTTPS]。 接著將顯示後端驗證憑證或信任的根憑證的窗格。

  5. 請選擇 新建

  6. 名稱 欄位中,輸入適當的名稱。

  7. 在上傳 CER 憑證 方塊中選取憑證檔案。

    針對標準和 WAF (v1) 應用程式閘道,您應該以.cer格式上傳後端伺服器憑證的公開金鑰。

    新增憑證

    針對 Standard_v2 和 WAF_v2 應用程式閘道,您應該以.cer格式上傳後端伺服器憑證的根憑證。 如果後端憑證是由已知憑證授權單位 (CA) 發行,您可以選取 [ 使用已知 CA 憑證] 核取方塊,然後您就不需要上傳憑證。

    新增受信任的根憑證

    根憑證

  8. 選取 [儲存]。

為現有的應用程式閘道啟用端對端 TLS

若要使用端對端 TLS 加密設定現有的應用程式閘道,您必須先在接聽程式中啟用 TLS 終止。 此動作會啟用用戶端與應用程式閘道之間通訊的 TLS 加密。 然後,將後端伺服器的這些憑證放在「安全收件者」清單的 HTTP 設定中。 此設定可啟用應用程式閘道與後端伺服器之間通訊的 TLS 加密。 這完成了端對端 TLS 加密。

您必須使用具有 HTTPS 通訊協定的接聽程式和憑證來啟用 TLS 終止。 您可以使用符合這些條件的現有接聽程式,也可以建立新的接聽程式。 如果您選擇前一個選項,您可以忽略下列「在現有應用程式閘道中啟用 TLS 終止」一節,並直接移至 [為後端伺服器新增驗證/信任的根憑證] 一節。

如果您選擇後一個選項,請套用下列程序中的步驟。

在現有的應用程式閘道中啟用 TLS 終止

  1. 選取 [ 所有資源],然後選取 [myAppGateway]。

  2. 從左側功能表中選取 [接聽程式 ]。

  3. 根據您的需求選取 [基本 ] 或 [多站台 接聽程式]。

  4. [通訊協定] 底下,選取 [HTTPS]。 憑證窗格隨即出現。

  5. 上傳您想要用於用戶端與應用程式閘道之間 TLS 終止的 PFX 憑證。

    備註

    出於測試目的,您可以使用自我簽名證書。 不過,不建議您將其用於生產工作負載,因為這種工作負載較難管理,也並非完全安全。 如需詳細資訊,請參閱 建立自我簽署憑證

  6. 根據您的需求,為 接聽程式新增其他必要設定。

  7. 選取 [確定] 以儲存。

新增後端伺服器的驗證/信任根憑證

  1. 選取 [ 所有資源],然後選取 [myAppGateway]。

  2. 從左側功能表中選取 HTTP 設定 。 您可以將憑證放在 [安全收件者] 清單上的現有後端 HTTP 設定中,或建立新的 HTTP 設定。 (在下一個步驟中,預設 HTTP 設定 appGatewayBackendHttpSettings 的憑證會新增至 [安全收件者] 清單。

  3. 選取 appGatewayBackendHttpSettings

  4. [通訊協定] 底下,選取 [HTTPS]。 接著將顯示後端驗證憑證或信任的根憑證的窗格。

  5. 請選擇 新建

  6. 名稱 欄位中,輸入適當的名稱。

  7. 在上傳 CER 憑證 方塊中選取憑證檔案。

    針對標準和 WAF (v1) 應用程式閘道,您應該以.cer格式上傳後端伺服器憑證的公開金鑰。

    新增憑證

    針對 Standard_v2 和 WAF_v2 應用程式閘道,您應該以.cer格式上傳後端伺服器憑證的根憑證。 如果後端憑證是由已知的 CA 發行,您可以選取 [ 使用已知的 CA 憑證 ] 核取方塊,然後您就不需要上傳憑證。

    新增受信任的根憑證

  8. 選取 [儲存]。

後續步驟

使用 Azure CLI 以應用程式閘道管理網路流量

  • Last updated on