Erstellen von Zertifikaten zum Zulassen des Back-Ends für Azure Application Gateway

  • Artikel

Für die End-to-End-TLS-Verschlüsselung erfordert Application Gateway, dass Back-End-Instanzen zugelassen werden, indem Authentifizierungs- bzw. vertrauenswürdige Stammzertifikate hochgeladen werden. Für die v1-SKU sind Authentifizierungszertifikate erforderlich, aber für die v2-SKU werden vertrauenswürdige Stammzertifikate benötigt, um die Zertifikate zuzulassen.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

  • Exportieren des Authentifizierungszertifikats aus einem Back-End-Zertifikat (für die v1-SKU)
  • Exportieren des vertrauenswürdigen Stammzertifikats aus einem Back-End-Zertifikat (für die v2-SKU)

Voraussetzungen

Es muss ein Back-End-Zertifikat vorhanden sein, um die Authentifizierungszertifikate oder vertrauenswürdigen Stammzertifikate zu generieren, die für das Zulassen von Back-End-Instanzen mit Application Gateway erforderlich sind. Das Back-End-Zertifikat kann mit dem TLS-/SSL-Zertifikat identisch sein (oder ein anderes Zertifikat, um die Sicherheit zu erhöhen). Application Gateway bietet keine Möglichkeit, ein TLS-/SSL-Zertifikat zu erstellen oder zu erwerben. Sie können zu Testzwecken ein selbstsigniertes Zertifikat erstellen. Dieses sollten Sie aber nicht für Produktionsworkloads verwenden.

Exportieren des Authentifizierungszertifikats (für die v1-SKU)

Sie benötigen ein Authentifizierungszertifikat, um Back-End-Instanzen in der v1-SKU von Application Gateway zulassen zu können. Das Authentifizierungszertifikat ist der öffentliche Schlüssel der Back-End-X.509-Serverzertifikate im Base64-codierten Format (.CER). In diesem Beispiel verwenden Sie ein TLS-/SSL-Zertifikat als Back-End-Zertifikat und exportieren dessen öffentlichen Schlüssel, der dann als Authentifizierungszertifikat verwendet wird. Sie verwenden zudem den Windows-Zertifikat-Manager, um die erforderlichen Zertifikate zu exportieren. Sie können auch ein beliebiges anderes Tool verwenden, das für Ihre Zwecke geeignet ist.

Exportieren Sie die CER-Datei mit dem öffentlichen Schlüssel aus Ihrem TLS-/SSL-Zertifikat (nicht den privaten Schlüssel). Führen Sie die folgenden Schritte durch, um die CER-Datei mit dem Base64-kodierten X.509-Zertifikat für Ihr Zertifikat zu exportieren:

  1. Öffnen Sie Benutzerzertifikate verwalten, um eine CER-Datei für das Zertifikat zu erhalten. Suchen Sie das Zertifikat (in der Regel befindet es sich unter „Certificates > Aktueller Benutzer\Personal\Certificates“), und klicken Sie mit der rechten Maustaste darauf. Klicken Sie auf Alle Aufgaben und anschließend auf Exportieren. Dadurch wird der Zertifikatexport-Assistentgeöffnet. Wenn Sie den Zertifikat-Manager im Bereich für den aktuellen Benutzer mithilfe von PowerShell öffnen möchten, geben Sie certmgr ins Konsolenfenster ein.

Hinweis

Wenn Sie das Zertifikat unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“ nicht finden, haben Sie unter Umständen versehentlich „Zertifikate – Lokaler Benutzer“ anstelle von „Zertifikate – Aktueller Benutzer“ geöffnet.

Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  1. Klicken Sie im Assistenten auf Weiter.

    Export certificate

  2. Wählen Sie Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.

    Do not export the private key

  3. Wählen Sie auf der Seite Dateiformat für den Export die Option Base-64-codiert X.509 (.CER) aus, und klicken Sie dann auf Weiter.

    Base-64 encoded

  4. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  5. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  6. Das Zertifikat wurde erfolgreich exportiert.

    Screenshot shows the Certificate Export Wizard with a success message.

    Das exportierte Zertifikat sieht in etwa wie folgt aus:

    Screenshot shows a certificate symbol.

  7. Wenn Sie das exportierte Zertifikat mit Editor öffnen, ähnelt die Datei diesem Beispiel. Der blaue Abschnitt enthält die Informationen, die in Application Gateway hochgeladen werden. Wenn Sie das Zertifikat mit Editor öffnen und es nicht so ähnlich aussieht, bedeutet dies in der Regel, dass Sie es nicht als Base64-codiertes X.509-Zertifikat (.cer) exportiert haben. Wenn Sie darüber hinaus einen anderen Text-Editor verwenden möchten, sollten Sie beachten, dass einige Editoren unbeabsichtigte Formatierung im Hintergrund einführen können. Dies kann Probleme beim Hochladen des Texts aus diesem Zertifikat in Azure verursachen.

    Open with Notepad

Exportieren des vertrauenswürdigen Stammzertifikats (für die v2-SKU)

Sie benötigen ein vertrauenswürdiges Stammzertifikat, um Back-End-Instanzen in der Application Gateway v2-SKU zulassen zu können. Das Stammzertifikat ist ein Base64-kodiertes X.509-Stammzertifikat (.CER) aus den Zertifikaten des Back-End-Servers. In diesem Beispiel verwenden wir ein TLS-/SSL-Zertifikat als Back-End-Zertifikat, exportieren dessen öffentlichen Schlüssel, und exportieren anschließend das Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle aus dem öffentlichen Schlüssel im Base64-codierten Format, um das vertrauenswürdige Stammzertifikat zu erhalten. Zwischenzertifikate sollten mit dem Serverzertifikat gebündelt und auf dem Back-End-Server installiert werden.

Führen Sie die folgenden Schritte durch, um die CER-Datei für Ihr Zertifikat zu exportieren:

  1. Führen Sie die Schritte 1–8 im vorhergehenden Abschnitt Exportieren des Authentifizierungszertifikats (für die v1-SKU) durch, um den öffentlichen Schlüssel aus Ihrem Back-End-Zertifikat zu exportieren.

  2. Öffnen Sie die Datei, wenn der öffentliche Schlüssel exportiert wurde.

    Open authorization certificate

    about certificate

  3. Wechseln Sie zur Ansicht mit dem Zertifizierungspfad, um die Zertifizierungsstelle anzuzeigen.

    cert details

  4. Wählen Sie das Sicherheitszertifikat aus, und klicken Sie auf Zertifikat anzeigen.

    cert path

    Die Details des Stammzertifikats sollten angezeigt werden.

    cert info

  5. Wechseln Sie zur Ansicht Details, und klicken Sie auf In Datei kopieren.

    copy root cert

  6. Sie haben die Details des Stammzertifikats nun aus dem Back-End-Zertifikat extrahiert. Der Zertifikatexport-Assistent wird angezeigt. Führen Sie die Schritte 2 – 9 im Abschnitt Exportieren des Authentifizierungszertifikats (für die v1-SKU) durch, um das vertrauenswürdige Stammzertifikat im Base64-kodierten CER-Format als X.509-Zertifikat zu exportieren.

Nächste Schritte

Jetzt verfügen Sie über das Authentifizierungszertifikat und das vertrauenswürdige Sicherheitszertifikat im CER-Format (Base64-kodierte X.509-Zertifikate). Sie können diese Zertifikate zu Application Gateway hinzufügen, um die End-to-End-TLS-Verschlüsselung auf Ihren Back-End-Servern zuzulassen. Weitere Informationen finden Sie unter Konfigurieren von End-to-End-TLS mit Application Gateway mithilfe von PowerShell.