本文說明如何使用 Azure 入口網站 在應用程式閘道上設定相互驗證。 相互驗證表示應用程式閘道會使用您上傳至應用程式閘道的用戶端憑證來驗證傳送要求的用戶端。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
開始之前
若要設定與應用程式閘道的相互驗證,您需要用戶端憑證才能上傳至閘道。 用戶端憑證將用來驗證用戶端將呈現給應用程式閘道的憑證。 出於測試目的,您可以使用自我簽名證書。 不過,不建議您將其用於生產工作負載,因為這種工作負載較難管理,也並非完全安全。
若要深入瞭解,特別是您可以上傳的用戶端憑證類型,請參閱 應用程式閘道的相互驗證概觀。
建立新的應用程式閘道
首先,建立新的應用程式閘道,就像您通常透過入口網站一樣,建立時不需要其他步驟來啟用相互驗證。 如需如何在入口網站中建立應用程式閘道的詳細資訊,請參閱我們的 入口網站快速入門教學課程。
設定相互驗證
若要使用相互驗證來設定現有的應用程式閘道,您必須先移至入口網站中的 [SSL 設定 ] 索引標籤,然後建立新的 SSL 配置檔。 當您建立 SSL 設定檔時,您會看到兩個索引標籤:「用戶端驗證」和「SSL 原則」。 [ 用戶端驗證 ] 索引標籤是您將上傳用戶端憑證的位置。 SSL 原則 索引標籤用於配置接聽程式特定的 SSL 原則 - 如需詳細資訊,請參閱 設定接聽程式特定的 SSL 原則。
這很重要
請確定您在一個檔案中上傳整個用戶端 CA 憑證鏈,且每個檔案只能上傳一個鏈。
在入口網站中搜尋 應用程式閘道 ,選取 [ 應用程式閘道],然後按一下您現有的應用程式閘道。
從左側功能表中選取 SSL 設定 。
按一下頂端 SSL 設定檔 旁邊的加號,以建立新的 SSL 設定檔。
在 SSL 設定檔名稱下輸入名稱。 在此範例中,我們將 SSL 設定檔稱為 applicationGatewaySSLProfile。
停留在 「用戶端驗證」 標籤中。使用 [上傳新憑證] 按鈕,上傳您想要用於用戶端與應用程式閘道之間相互驗證的 PEM 憑證。
如需如何擷取受信任用戶端 CA 憑證鏈結以上傳至此處的詳細資訊,請參閱如何擷取受信任的用戶端 CA 憑證鏈結。
備註
如果這不是您的第一個 SSL 設定檔,而且您已將其他用戶端憑證上傳至應用程式閘道,您可以選擇透過下拉式功能表重複使用閘道上的現有憑證。
只有在您想要應用程式閘道驗證用戶端憑證的立即簽發者辨別名稱時,才核取 [驗證用戶端憑證簽發者的 DN] 方塊。
請考慮新增監聽器專屬政策。 請參閱 設定接聽程式特定SSL原則中的指示。
選取 [ 新增 ] 以儲存。
將 SSL 設定檔與接聽程式建立關聯
現在我們建立了一個 SSL 設定檔並設定了互認證,接下來需要將 SSL 設定檔關聯到監聽器,以完成互認證的設定。
流覽至您現有的應用程式閘道。 如果您剛剛完成上述步驟,則無需在此處執行任何操作。
從左側功能表中選取 [接聽程式 ]。
如果您尚未設定 HTTPS 接聽程式,請按一下 [新增接聽程式 ]。 如果您已經有 HTTPS 接聽器,請從清單中按一下它。
填寫 接聽程式名稱、 前端 IP、 連接埠、 通訊協定和其他 HTTPS 設定 以符合您的需求。
勾選啟用 SSL配置檔案 核取方塊,以便選擇要與接聽器關聯的SSL配置檔案。
從下拉式清單中選取您剛建立的 SSL 設定檔。 在此範例中,我們選擇從先前步驟建立的 SSL 設定檔: applicationGatewaySSLProfile。
繼續配置接聽程式的其餘部分以符合您的需求。
按一下 新增 ,以儲存新接聽程式及其相關聯的SSL設定檔。
更新過期的用戶端 CA 憑證
如果您的用戶端 CA 憑證已過期,您可以透過下列步驟更新閘道上的憑證:
流覽至您的應用程式閘道,然後移至左側功能表中的 [SSL 設定 ] 索引標籤。
選取具有過期用戶端憑證的現有 SSL 設定檔。
在「用戶端驗證」索引標籤中選取「上傳新憑證」,然後上傳新的用戶端憑證。
選取過期憑證旁邊的垃圾桶圖示。 這會從 SSL 設定檔中移除該憑證的關聯。
對使用相同過期用戶端憑證的任何其他 SSL 設定檔重複上述步驟 2-4。 您將能夠從其他 SSL 設定檔的下拉式功能表中選擇您在步驟 3 中上傳的新憑證。