Configuración del cliente de escucha de Application Gateway para el cifrado
Ha configurado SSL para la conexión entre Azure Application Gateway y los servidores en el grupo de back-end. Para el portal de envíos, necesita el cifrado completo de un extremo a otro. Para realizar este cifrado, también tendrá que cifrar los mensajes que el cliente envía a Application Gateway.
Creación de un puerto de front-end
Application Gateway recibe solicitudes a través de uno o varios puertos. Si se está comunicando con la puerta de enlace a través de HTTPS, debe configurar un puerto SSL. Tradicionalmente, HTTPS usa el puerto 443. Utilice el comando az network application-gateway frontend-port create para crear un nuevo puerto de front-end. El ejemplo siguiente muestra cómo crear un puerto de front-end para el puerto 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Configuración de un agente de escucha
Un agente de escucha espera el tráfico entrante a la puerta de enlace en un puerto front-end especificado. Este tráfico después se redirige a un servidor en el grupo de back-end. Si el puerto de front-end utiliza SSL, deberá indicar el certificado que se usará para descifrar los mensajes entrantes. El certificado incluye la clave privada.
Puede agregar el certificado mediante el comando az network application-gateway ssl-cert create. El archivo de certificado debe estar en formato PFX. Como este archivo contiene la clave privada, probablemente también esté protegido con contraseña. La contraseña se proporciona en el argumento cert-password, tal como se muestra en el ejemplo siguiente.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Después puede crear el cliente de escucha que recibe las solicitudes desde el puerto de front-end y las descifra con este certificado. Use el comando az network application-gateway http-listener create.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Definición de una regla para enviar solicitudes HTTPS a los servidores
El último paso es crear una regla que dirija los mensajes recibidos a través del cliente de escucha a los servidores en el grupo de back-end. Los mensajes recibidos desde el puerto de front-end se descifran mediante el certificado SSL especificado para el cliente de escucha. Debe volver a cifrar estos mensajes mediante el certificado de cliente para los servidores en el grupo de back-end. Esta información se define en la regla.
El ejemplo siguiente muestra cómo usar el comando az network application-gateway rule create para crear una regla que conecte un agente de escucha a un grupo de back-end. El parámetro --http-settings especifica la configuración de HTTP que hace referencia al certificado de cliente para los servidores. Esta configuración la creó en la unidad anterior.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Ahora debería tener cifrado completo de un extremo a otro para los mensajes que se redirijan a través de Application Gateway. Los clientes usan el certificado SSL de Application Gateway para enviar mensajes. Application Gateway descifra estos mensajes mediante este certificado SSL. Después, vuelve a cifrar los mensajes mediante el certificado para los servidores del grupo de back-end.