Renovar certificados de Application Gateway

  • Artículo

En algún momento, tendrá que renovar los certificados si ha configurado Application Gateway para el cifrado TLS/SSL.

Hay dos ubicaciones donde pueden existir certificados: certificados almacenados en Azure Key Vault o certificados cargados en una puerta de enlace de aplicación.

Certificados en Azure Key Vault

Al configurar Application Gateway para usar certificados de Key Vault, sus instancias recuperan el certificado de Key Vault y lo instalan localmente para la terminación TLS. Las instancias sondean Key Vault en intervalos de cuatro horas para recuperar una versión renovada del certificado, si existe. Si se encuentra un certificado actualizado, el certificado TLS/SSL asociado actualmente al cliente de escucha HTTPS rota automáticamente.

Sugerencia

Cualquier cambio en Application Gateway forzará una comprobación en Key Vault para ver si hay disponibles nuevas versiones de certificados. Esto incluye, entre otros, cambios en las configuraciones de IP de front-end, clientes de escucha, reglas, grupos de back-end, etiquetas de recursos, etc. Si se encuentra un certificado actualizado, el nuevo certificado se presentará inmediatamente.

Application Gateway usa un identificador secreto en Key Vault para hacer referencia a los certificados. Para Azure PowerShell, la CLI de Azure o Azure Resource Manager, se recomienda encarecidamente usar un identificador secreto que no especifique una versión. De este modo, Application Gateway rotará automáticamente el certificado si hay una versión más reciente disponible en el almacén de claves. Un ejemplo de un URI de secreto sin una versión es https://myvault.vault.azure.net/secrets/mysecret/.

Certificados en una puerta de enlace de aplicación

Application Gateway admite la carga de certificados sin necesidad de configurar Azure Key Vault. Para renovar los certificados cargados, siga estos pasos para Azure Portal, Azure PowerShell o la CLI de Azure.

Azure portal

Para renovar un certificado de agente de escucha desde el portal, vaya a los agentes de escucha de Application Gateway. Seleccione el cliente de escucha que tiene un certificado que debe renovarse y, a continuación, seleccione Renovar o editar el certificado seleccionado.

Renew certificate

Cargue el nuevo certificado PFX, asígnele un nombre, escriba la contraseña y, a continuación, seleccione Guardar.

Azure PowerShell

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Para renovar el certificado con Azure PowerShell, use el siguiente script:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

CLI de Azure

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Pasos siguientes

Para aprender a configurar la descarga de TLS con Azure Application Gateway, consulte Configuración de la descarga de TLS.