Ejercicio: configurar el cliente de escucha de Application Gateway para el cifrado

  • 10 minutos

Cuando haya configurado los certificados para Azure Application Gateway y el grupo de back-end, podrá crear un cliente de escucha para controlar las solicitudes entrantes. El cliente de escucha espera los mensajes, los descifra mediante la clave privada y los enruta al grupo de back-end.

En esta unidad, configurará el cliente de escucha con el puerto 443 y con el certificado SSL que creó en el primer ejercicio. En la imagen siguiente se resaltan los elementos que configurará en este ejercicio.

Diagram that highlights the elements (frontend port, SSL certificate for Application Gateway, listener, and rule) created in this exercise.

Configuración del cliente de escucha

  1. Ejecute el comando siguiente para crear un nuevo puerto de front-end (443) para la puerta de enlace:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Cargue el certificado SSL de Application Gateway. El script de configuración generó este certificado en el ejercicio anterior. El certificado se encuentra almacenado en el archivo appgateway.pfx de la carpeta server-config.

    La contraseña generada para el archivo .pfx es somepassword. No la cambie en el siguiente comando.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Ejecute el siguiente comando para crear un nuevo cliente de escucha que acepte el tráfico entrante en el puerto 443. El cliente de escucha usa el certificado appgateway-cert para descifrar los mensajes.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Ejecute el siguiente comando para crear una regla que dirija el tráfico recibido a través del nuevo cliente de escucha al grupo de back-end. Este comando puede tardar un par de minutos en completarse.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Prueba de la puerta de enlace de aplicaciones

  1. Recupere la dirección URL pública de la puerta de enlace de aplicaciones.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. Vaya a la dirección URL en un explorador web.

    Como anteriormente, el explorador puede mostrar un mensaje de advertencia que indica que la conexión SSL está utilizando un certificado no autenticado. Esta advertencia se muestra porque el certificado es autofirmado. Puede omitir esta advertencia y continuar al sitio web.

  3. Compruebe que aparece la página principal del portal de envíos.

Ha configurado el cliente de escucha para que escuche en el puerto 443 y descifre los datos listos para pasarse al grupo de back-end. Los datos se vuelven a cifrar cuando se transmiten desde la puerta de enlace a un servidor en el grupo de back-end. Con este cliente de escucha preparado, ha configurado el cifrado de un extremo a otro para el portal de envíos.

Puede eliminar estos recursos si es necesario. La forma más fácil de eliminar todos los recursos que ha creado en este módulo consiste simplemente en eliminar el grupo de recursos.