Prodloužení platnosti certifikátů služby Application Gateway

V určitém okamžiku budete muset obnovit certifikáty, pokud jste nakonfigurovali aplikační bránu pro šifrování TLS/SSL.

Existují dvě umístění, kde můžou existovat certifikáty: certifikáty uložené v Azure Key Vault nebo certifikáty nahrané do aplikační brány.

Certifikáty v Azure Key Vault

Pokud je Application Gateway nakonfigurované tak, aby používaly certifikáty Key Vault, jeho instance načtou certifikát z Key Vault a nainstalují je místně pro ukončení protokolu TLS. Instance se dotazují Key Vault v čtyřhodinových intervalech a načtou obnovenou verzi certifikátu, pokud existuje. Pokud se najde aktualizovaný certifikát, certifikát TLS/SSL, který je aktuálně přidružený k naslouchacímu procesu HTTPS, se automaticky otočí.

Tip

Jakákoli změna Application Gateway vynutí kontrolu Key Vault a zjistí, jestli jsou k dispozici nějaké nové verze certifikátů. To zahrnuje, ale není omezené na změny konfigurace front-endových IP adres, naslouchacích procesů, pravidel, back-endových fondů, značek prostředků a dalších. Pokud se najde aktualizovaný certifikát, zobrazí se nový certifikát okamžitě.

Application Gateway k odkazům na certifikáty používá identifikátor tajného kódu v Key Vault. Pro Azure PowerShell, Azure CLI nebo Azure Resource Manager důrazně doporučujeme použít identifikátor tajného kódu, který nezadá verzi. Tímto způsobem Application Gateway certifikát automaticky otočí, pokud je ve vašem trezoru klíčů k dispozici novější verze. Příkladem tajného identifikátoru URI bez verze je https://myvault.vault.azure.net/secrets/mysecret/.

Certifikáty ve službě Application Gateway

Application Gateway podporuje nahrávání certifikátů bez nutnosti konfigurace azure Key Vault. K obnovení nahraných certifikátů použijte následující postup pro Azure Portal, Azure PowerShell nebo Azure CLI.

portál Azure

Pokud chcete obnovit certifikát naslouchacího procesu z portálu, přejděte k naslouchacím procesům služby Application Gateway. Vyberte naslouchací proces, který má certifikát, který je potřeba obnovit, a pak vyberte Obnovit nebo upravit vybraný certifikát.

Renew certificate

Upload nový certifikát PFX, pojmenujte ho, zadejte heslo a pak vyberte Uložit.

Azure PowerShell

Poznámka

Tento článek používá modul Azure Az PowerShellu, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Pokud chcete obnovit certifikát pomocí Azure PowerShell, použijte následující skript:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Další kroky

Informace o konfiguraci přesměrování zpracování protokolu TLS pomocí Azure Application Gateway najdete v tématu Konfigurace přesměrování zpracování protokolu TLS.