Tutorial: Configuración de una puerta de enlace de aplicaciones con terminación SSL mediante de Azure PortalTutorial: Configure an application gateway with SSL termination using the Azure portal

Puede usar Azure Portal para configurar una puerta de enlace de aplicaciones con un certificado para terminación SSL que use máquinas virtuales para servidores back-end.You can use the Azure portal to configure an application gateway with a certificate for SSL termination that uses virtual machines for backend servers.

En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Creación de un certificado autofirmadoCreate a self-signed certificate
  • Crear una puerta de enlace de aplicaciones con el certificadoCreate an application gateway with the certificate
  • Crear las máquinas virtuales que se utilizan como servidores back-endCreate the virtual machines used as backend servers
  • Prueba de la puerta de enlace de aplicacionesTest the application gateway

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Inicio de sesión en AzureSign in to Azure

Inicie sesión en Azure Portal en https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com

Creación de un certificado autofirmadoCreate a self-signed certificate

En esta sección, usará New-SelfSignedCertificate para crear un certificado autofirmado.In this section, you use New-SelfSignedCertificate to create a self-signed certificate. Cargará el certificado en Azure Portal al crear el agente de escucha para la puerta de enlace de aplicaciones.You upload the certificate to the Azure portal when you create the listener for the application gateway.

En el equipo local, abra una ventana de Windows PowerShell como administrador.On your local computer, open a Windows PowerShell window as an administrator. Ejecute el siguiente comando para crear el certificado:Run the following command to create the certificate:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

Debería ver algo parecido a esta respuesta:You should see something like this response:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Use Export-PfxCertificate con la huella digital que se devolvió al exportar un archivo pfx del certificado:Use Export-PfxCertificate with the Thumbprint that was returned to export a pfx file from the certificate:

Nota

No use ningún carácter especial en la contraseña del archivo .pfx.Do not use any special characters in your .pfx file password. Solo se admiten caracteres alfanuméricos.Only alphanumeric characters are supported.

$pwd = ConvertTo-SecureString -String "Azure123456!" -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Creación de una puerta de enlace de aplicacionesCreate an application gateway

  1. Seleccione Crear un recurso en el menú de la izquierda de Azure Portal.Select Create a resource on the left menu of the Azure portal. Aparece la ventana Nuevo.The New window appears.

  2. Seleccione Redes y Application Gateway en la lista Destacados.Select Networking and then select Application Gateway in the Featured list.

Pestaña Aspectos básicosBasics tab

  1. En la pestaña Aspectos básicos, especifique estos valores para la siguiente configuración de puerta de enlace de aplicaciones:On the Basics tab, enter these values for the following application gateway settings:

    • Grupo de recursos: Seleccione myResourceGroupAG como grupo de recursos.Resource group: Select myResourceGroupAG for the resource group. Si no existe, seleccione Crear nuevo para crearlo.If it doesn't exist, select Create new to create it.

    • Nombre de la puerta de enlace de aplicaciones: Escriba myAppGateway como nombre de la puerta de enlace de aplicaciones.Application gateway name: Enter myAppGateway for the name of the application gateway.

      Crear una nueva puerta de enlace de aplicaciones: Aspectos básicos

  2. Para que Azure se comunique entre los recursos que se crean, se necesita una red virtual.For Azure to communicate between the resources that you create, it needs a virtual network. Puede crear una red virtual o usar una existente.You can either create a new virtual network or use an existing one. En este ejemplo, creará una nueva red virtual a la vez que crea la puerta de enlace de aplicaciones.In this example, you'll create a new virtual network at the same time that you create the application gateway. Se crean instancias de Application Gateway en subredes independientes.Application Gateway instances are created in separate subnets. En este ejemplo se crean dos subredes: una para la puerta de enlace de aplicaciones y la otra para los servidores back-end.You create two subnets in this example: one for the application gateway, and another for the backend servers.

    En Configurar la red virtual, seleccione Crear nuevo para crear una nueva red virtual.Under Configure virtual network, create a new virtual network by selecting Create new. En la ventana Crear red virtual que se abre, escriba los valores siguientes para crear la red virtual y dos subredes:In the Create virtual network window that opens, enter the following values to create the virtual network and two subnets:

    • Nombre: Escriba myVnet como nombre de la red virtual.Name: Enter myVNet for the name of the virtual network.

    • Nombre de subred (subred de Application Gateway): La cuadrícula Subredes mostrará una subred llamada Predeterminada.Subnet name (Application Gateway subnet): The Subnets grid will show a subnet named Default. Cambie el nombre de esta subred a myAGSubnet.Change the name of this subnet to myAGSubnet.
      La subred de la puerta de enlace de aplicaciones solo puede contener puertas de enlace de aplicaciones.The application gateway subnet can contain only application gateways. No se permite ningún otro recurso.No other resources are allowed.

    • Nombre de subred (subred de servidor de back-end): En la segunda fila de la cuadrícula Subredes, escriba myBackendSubnet en la columna Nombre de subred.Subnet name (backend server subnet): In the second row of the Subnets grid, enter myBackendSubnet in the Subnet name column.

    • Intervalo de direcciones (subred de servidor de back-end): En la segunda fila de la cuadrícula Subredes, escriba un intervalo de direcciones que no se superponga al intervalo de direcciones de myAGSubnet.Address range (backend server subnet): In the second row of the Subnets Grid, enter an address range that doesn't overlap with the address range of myAGSubnet. Por ejemplo, si el intervalo de direcciones de myAGSubnet es 10.0.0.0/24, escriba 10.0.1.0/24 para el intervalo de direcciones de myBackendSubnet.For example, if the address range of myAGSubnet is 10.0.0.0/24, enter 10.0.1.0/24 for the address range of myBackendSubnet.

    Seleccione Aceptar para cerrar la ventana Crear red virtual y guarde la configuración de la red virtual.Select OK to close the Create virtual network window and save the virtual network settings.

    Crear una nueva puerta de enlace de aplicaciones: red virtual

  3. En la pestaña Aspectos básicos, acepte los valores predeterminados para las demás opciones y seleccione Siguiente: Front-end.On the Basics tab, accept the default values for the other settings and then select Next: Frontends.

Pestaña Front-endFrontends tab

  1. En la pestaña Front-end, compruebe que Tipo de dirección IP de front-end esté establecido en Pública.On the Frontends tab, verify Frontend IP address type is set to Public.
    Puede configurar la dirección IP de front-end para que sea pública o privada, según el caso de uso.You can configure the Frontend IP to be Public or Private as per your use case. En este ejemplo, elegimos una IP de front-end pública.In this example, you'll choose a Public Frontend IP.

    Nota

    Para la SKU de Application Gateway v2, solo puede elegir la configuración IP de front-end pública.For the Application Gateway v2 SKU, you can only choose Public frontend IP configuration. La configuración de IP de front-end privada no está habilitada actualmente para este SKU v2.Private frontend IP configuration is currently not enabled for this v2 SKU.

  2. Elija Crear nuevo para la Dirección IP pública y escriba myAGPublicIPAddress para el nombre de dirección IP pública y seleccione Aceptar.Choose Create new for the Public IP address and enter myAGPublicIPAddress for the public IP address name, and then select OK.

    Crear una nueva puerta de enlace de aplicaciones: front-end

  3. Seleccione Siguiente: Back-end.Select Next: Backends.

Pestaña Back-endBackends tab

El grupo de back-end se usa para enrutar las solicitudes a los servidores back-end, que atienden la solicitud.The backend pool is used to route requests to the backend servers that serve the request. Los grupos de back-end pueden constar de NIC, conjuntos de escalado de máquinas virtuales, direcciones IP públicas e internas, nombres de dominio completos (FQDN) y servidores back-end multiinquilino como Azure App Service.Backend pools can be composed of NICs, virtual machine scale sets, public IPs, internal IPs, fully qualified domain names (FQDN), and multi-tenant back-ends like Azure App Service. En este ejemplo, creará un grupo de back-end vacío con la puerta de enlace de aplicaciones y, luego, agregará destinos de back-end al grupo de back-end.In this example, you'll create an empty backend pool with your application gateway and then add backend targets to the backend pool.

  1. En la pestaña Back-end, seleccione +Agregar un grupo de back-end.On the Backends tab, select +Add a backend pool.

  2. En la ventana Agregar un grupo de back-end, escriba los valores siguientes para crear un grupo de back-end vacío:In the Add a backend pool window that opens, enter the following values to create an empty backend pool:

    • Nombre: Escriba myBackendPool para el nombre del grupo de back-end.Name: Enter myBackendPool for the name of the backend pool.
    • Agregar grupo de back-end sin destinos: Seleccione para crear un grupo de back-end sin destinos.Add backend pool without targets: Select Yes to create a backend pool with no targets. Agregará destinos de back-end después de crear la puerta de enlace de aplicaciones.You'll add backend targets after creating the application gateway.
  3. En la ventana Agregar un grupo de back-end, seleccione Agregar para guardar la configuración del grupo de back-end y vuelva a la pestaña Back-end.In the Add a backend pool window, select Add to save the backend pool configuration and return to the Backends tab.

    Crear una nueva puerta de enlace de aplicaciones: back-end

  4. En la pestaña Back-end, seleccione Siguiente: Configuración.On the Backends tab, select Next: Configuration.

Pestaña ConfiguraciónConfiguration tab

En la pestaña Configuración, conecte el grupo de front-end y back-end que ha creado con una regla de enrutamiento.On the Configuration tab, you'll connect the frontend and backend pool you created using a routing rule.

  1. Seleccione Agregar una regla en la columna Reglas de enrutamiento.Select Add a rule in the Routing rules column.

  2. En la ventana Agregar una regla de enrutamiento que se abre, escriba myRoutingRule para el Nombre de regla.In the Add a routing rule window that opens, enter myRoutingRule for the Rule name.

  3. Una regla de enrutamiento necesita un cliente de escucha.A routing rule requires a listener. En la pestaña Cliente de escucha de la ventana Agregar una regla de enrutamiento, escriba los valores siguientes para el cliente de escucha:On the Listener tab within the Add a routing rule window, enter the following values for the listener:

    • Nombre del cliente de escucha: Escriba myListener para el nombre del cliente de escucha.Listener name: Enter myListener for the name of the listener.
    • Dirección IP de front-end: Seleccione Pública para elegir la dirección IP pública que ha creado para el front-end.Frontend IP: Select Public to choose the public IP you created for the frontend.
    • Protocolo: seleccione HTTPS.Protocol: Select HTTPS.
    • Puerto: compruebe que se ha especificado el puerto 443.Port: Verify 443 is entered for the port.

    En Certificado HTTPS:Under HTTPS Certificate:

    • Archivo de certificado PFX: busque y seleccione el archivo c:\appgwcert.pfx que creó anteriormente.PFX certificate file - Browse to and select the c:\appgwcert.pfx file that you create earlier.

    • Nombre del certificado: escriba mycert1 como nombre del certificado.Certificate name - Type mycert1 for the name of the certificate.

    • En Contraseña, escriba Azure123456! .Password - Type Azure123456! como contraseña.for the password.

      Acepte los valores predeterminados para las demás opciones de la pestaña Cliente de escucha y, a continuación, seleccione la pestaña Destinos de back-end para configurar el resto de opciones de la regla de enrutamiento.Accept the default values for the other settings on the Listener tab, then select the Backend targets tab to configure the rest of the routing rule.

    Crear una nueva puerta de enlace de aplicaciones: cliente de escucha

  4. En la pestaña Destinos de back-end, seleccione myBackendPool para el Destino de back-end.On the Backend targets tab, select myBackendPool for the Backend target.

  5. Para la Configuración de HTTP, seleccione Crear nueva para crear una nueva configuración de HTTP.For the HTTP setting, select Create new to create a new HTTP setting. La configuración de HTTP determinará el comportamiento de la regla de enrutamiento.The HTTP setting will determine the behavior of the routing rule. En la ventana Agregar una configuración de HTTP que se abre, escriba myHTTPSetting en el Nombre de configuración de HTTP.In the Add an HTTP setting window that opens, enter myHTTPSetting for the HTTP setting name. Acepte los valores predeterminados para las demás opciones de la ventana Agregar una configuración de HTTP y, a continuación, seleccione Agregar para volver a la ventana Agregar una regla de enrutamiento.Accept the default values for the other settings in the Add an HTTP setting window, then select Add to return to the Add a routing rule window.

    Crear una nueva puerta de enlace de aplicaciones: Configuración de HTTP

  6. En la ventana Agregar una regla de enrutamiento, seleccione Agregar para guardar la regla de enrutamiento y volver a la pestaña Configuración.On the Add a routing rule window, select Add to save the routing rule and return to the Configuration tab.

    Crear una nueva puerta de enlace de aplicaciones: regla de enrutamiento

  7. Seleccione Siguiente: Etiquetas y, a continuación, Siguiente: Review + create (Revisar y crear).Select Next: Tags and then Next: Review + create.

Pestaña Revisar y crearReview + create tab

Revise la configuración en la pestaña Revisar y crear y seleccione Crear para crear la red virtual, la dirección IP pública y la puerta de enlace de aplicaciones.Review the settings on the Review + create tab, and then select Create to create the virtual network, the public IP address, and the application gateway. Azure puede tardar varios minutos en crear la puerta de enlace de aplicaciones.It may take several minutes for Azure to create the application gateway. Espere hasta que finalice la implementación correctamente antes de continuar con la siguiente sección.Wait until the deployment finishes successfully before moving on to the next section.

Agregar destinos de back-endAdd backend targets

En este ejemplo, se usan máquinas virtuales como back-end de destino.In this example, you'll use virtual machines as the target backend. Pueden usarse máquinas virtuales existentes o crear otras nuevas.You can either use existing virtual machines or create new ones. En este ejemplo, se crean dos máquinas virtuales que Azure usa como servidores back-end para la puerta de enlace de aplicaciones.You'll create two virtual machines that Azure uses as backend servers for the application gateway.

Para ello, necesitará lo siguiente:To do this, you'll:

  1. Crear dos VM, myVM y myVM2, que se usarán como servidores back-end.Create two new VMs, myVM and myVM2, to be used as backend servers.
  2. Instalar IIS en las máquinas virtuales para comprobar que la puerta de enlace de aplicaciones se ha creado correctamente.Install IIS on the virtual machines to verify that the application gateway was created successfully.
  3. Agregar los servidores back-end al grupo de back-end.Add the backend servers to the backend pool.

Creación de una máquina virtualCreate a virtual machine

  1. En Azure Portal, seleccione Crear un recurso.On the Azure portal, select Create a resource. Aparece la ventana Nuevo.The New window appears.

  2. Seleccione Windows Server 2016 Datacenter en la lista Popular.Select Windows Server 2016 Datacenter in the Popular list. Aparecerá la página Creación de una máquina virtual.The Create a virtual machine page appears.

    Application Gateway puede enrutar el tráfico a cualquier tipo de máquina virtual que se use en el grupo de back-end.Application Gateway can route traffic to any type of virtual machine used in its backend pool. En este ejemplo se usa un Windows Server 2016 Datacenter.In this example, you use a Windows Server 2016 Datacenter.

  3. Especifique estos valores en la pestaña Datos básicos de la siguiente configuración de máquina virtual:Enter these values in the Basics tab for the following virtual machine settings:

    • Grupo de recursos: Seleccione myResourceGroupAG como nombre del grupo de recursos.Resource group: Select myResourceGroupAG for the resource group name.
    • Nombre de la máquina virtual: Especifique myVM como nombre de la máquina virtual.Virtual machine name: Enter myVM for the name of the virtual machine.
    • Nombre de usuario: Escriba azureuser como nombre del usuario administrador.Username: Enter azureuser for the administrator user name.
    • Contraseña: Escriba Azure123456!Password: Enter Azure123456! como la contraseña de administrador.for the administrator password.
  4. Acepte los valores predeterminados y haga clic en Siguiente: Discos.Accept the other defaults and then select Next: Disks.

  5. Acepte los valores predeterminados de la pestaña Discos y seleccione Siguiente: Redes.Accept the Disks tab defaults and then select Next: Networking.

  6. En la pestaña Redes, compruebe que myVNet está seleccionada como red virtual y que la subred es myBackendSubnet.On the Networking tab, verify that myVNet is selected for the Virtual network and the Subnet is set to myBackendSubnet. Acepte los valores predeterminados y haga clic en Siguiente: Administración.Accept the other defaults and then select Next: Management.

    Application Gateway puede comunicarse con instancias fuera de la red virtual en la que se encuentra, pero hay que comprobar que haya conectividad IP.Application Gateway can communicate with instances outside of the virtual network that it is in, but you need to ensure there's IP connectivity.

  7. En la pestaña Administración, establezca Diagnósticos de arranque en Desactivado.On the Management tab, set Boot diagnostics to Off. Acepte los demás valores predeterminados y seleccione Revisar y crear.Accept the other defaults and then select Review + create.

  8. En la pestaña Revisar y crear, revise la configuración, corrija los errores de validación y, después, seleccione Crear.On the Review + create tab, review the settings, correct any validation errors, and then select Create.

  9. Espere a que la implementación se complete antes de continuar.Wait for the deployment to complete before continuing.

Instalación de IIS para pruebasInstall IIS for testing

En este ejemplo se instala IIS en las máquinas virtuales con el fin de comprobar que Azure creó correctamente la puerta de enlace de aplicaciones.In this example, you install IIS on the virtual machines only to verify Azure created the application gateway successfully.

  1. Abra Azure PowerShell.Open Azure PowerShell. Para ello, seleccione Cloud Shell en la barra de navegación superior de Azure Portal y, a continuación, seleccione PowerShell en la lista desplegable.To do so, select Cloud Shell from the top navigation bar of the Azure portal and then select PowerShell from the drop-down list.

    Instalación de la extensión personalizada

  2. Ejecute el siguiente comando para instalar IIS en la máquina virtual:Run the following command to install IIS on the virtual machine:

           Set-AzVMExtension `
             -ResourceGroupName myResourceGroupAG `
             -ExtensionName IIS `
             -VMName myVM `
             -Publisher Microsoft.Compute `
             -ExtensionType CustomScriptExtension `
             -TypeHandlerVersion 1.4 `
             -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
             -Location EastUS
    
  3. Cree una segunda máquina virtual e instale IIS con los pasos que acaba de finalizar.Create a second virtual machine and install IIS by using the steps that you previously completed. Use myVM2 como nombre de la máquina virtual y como valor de VMName para el cmdlet Set-AzVMExtension.Use myVM2 for the virtual machine name and for the VMName setting of the Set-AzVMExtension cmdlet.

Incorporación de servidores back-end a un grupo de back-endAdd backend servers to backend pool

  1. Seleccione Todos los recursos y, después, seleccione myAppGateway.Select All resources, and then select myAppGateway.

  2. Seleccione los grupos back-end en el menú de la izquierda.Select Backend pools from the left menu.

  3. Seleccione MyBackendPool.Select myBackendPool.

  4. En Destinos, seleccione Máquina virtual de la lista desplegable.Under Targets, select Virtual machine from the drop-down list.

  5. En MÁQUINA VIRTUAL e INTERFACES DE RED, seleccione las máquinas virtuales myVM y myVM2, y sus interfaces de red asociadas de las listas desplegables.Under VIRTUAL MACHINE and NETWORK INTERFACES, select the myVM and myVM2 virtual machines and their associated network interfaces from the drop-down lists.

    Incorporación de servidores back-end

  6. Seleccione Guardar.Select Save.

  7. Espere a que la implementación se complete antes de continuar con el paso siguiente.Wait for the deployment to complete before proceeding to the next step.

Prueba de la puerta de enlace de aplicacionesTest the application gateway

  1. Seleccione Todos los recursos y, después, myAGPublicIPAddress.Select All resources, and then select myAGPublicIPAddress.

    Registro de la dirección IP pública de la puerta de enlace de aplicaciones

  2. En la barra de direcciones del explorador, escriba https://<la dirección IP de la puerta de enlace de aplicaciones> .In the address bar of your browser, type https://<your application gateway ip address>.

    Para aceptar la advertencia de seguridad si usó un certificado autofirmado, seleccione Detalles (o Configuración avanzada en Chrome) y, luego, continúe a la página web:To accept the security warning if you used a self-signed certificate, select Details (or Advanced on Chrome) and then go on to the webpage:

    Advertencia de seguridad

    El sitio web IIS protegido se muestra ahora como en el ejemplo siguiente:Your secured IIS website is then displayed as in the following example:

    Prueba de la dirección URL base en la puerta de enlace de aplicaciones

Pasos siguientesNext steps