Membuat sertifikat untuk memperbolehkan backend dengan Azure Application Gateway

Untuk melakukan TLS end-to-end, Gateway Aplikasi izinkan instans ujung belakang dengan mengunggah sertifikat akar autentikasi/tepercaya. Untuk SKU v1, sertifikat autentikasi diperlukan, namun untuk SKU v2 sertifikat akar tepercaya diperlukan untuk mengizinkan sertifikat.

Dalam artikel ini, Anda akan mempelajari cara:

  • Mengekspor sertifikat autentikasi dari sertifikat ujung belakang (untuk SKU v1)
  • Mengekspor sertifikat akar tepercaya dari sertifikat ujung belakang (untuk SKU v2)

Prasyarat

Sertifikat ujung belakang yang tersedia diperlukan untuk menghasilkan sertifikat autentikasi atau sertifikat akar tepercaya yang diperlukan untuk mengizinkan instans ujung belakang menggunakan Gateway Aplikasi. Sertifikat ujung belakang bisa sama dengan sertifikat TLS/SSL atau berbeda untuk keamanan tambahan. Application Gateway tidak memberi Anda mekanisme apa pun untuk membuat atau membeli sertifikat TLS/SSL. Untuk tujuan pengujian, Anda dapat membuat sertifikat yang ditandatangani sendiri tetapi Anda tidak dapat menggunakannya untuk beban kerja produksi.

Ekspor sertifikat autentikasi (untuk SKU v1)

Sertifikat autentikasi diperlukan untuk mengizinkan instans ujung belakang di Gateway Aplikasi SKU v1. Sertifikat autentikasi adalah kunci umum sertifikat server ujung belakang pada format Base-64 encoded X.509(.CER). Dalam contoh ini, Anda akan gunakan sertifikat TLS/SSL untuk sertifikat ujung belakang dan ekspor kunci umumnya untuk digunakan sebagai sertifikasi autentikasi. Selain itu, dalam contoh ini, Anda akan menggunakan alat Windows Certificate Manager untuk mengekspor sertifikat yang diperlukan. Anda dapat memilih untuk menggunakan alat lain yang sesuai.

Dari sertifikat TLS/SSL Anda, ekspor kunci umum .cer file (bukan kunci privat). Langkah-langkah berikut membantu Anda mengekspor file .cer di format Base-64 encoded X.509(. CER) untuk sertifikat Anda:

  1. Untuk mendapatkan file .cer dari sertifikat, buka Kelola sertifikat pengguna. Temukan sertifikat, biasanya di 'Sertifikat - Pengguna Saat Ini\Pribadi\Sertifikat', dan klik kanan. Klik Semua Tugas, lalu klik Ekspor. Perintah ini membuka Wizard Ekspor Sertifikat. Jika Anda ingin membuka Pengelola Sertifikat dalam cakupan pengguna saat ini menggunakan PowerShell, ketik certmgr di jendela konsol.

Catatan

Jika Anda tidak dapat menemukan sertifikat di bawah Pengguna Saat Ini\Pribadi\Sertifikat, Anda mungkin secara tidak sengaja membuka "Sertifikat - Komputer Lokal", dan bukan "Sertifikat - Pengguna Saat Ini").

Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  1. Pada Wizard, klik Selanjutnya.

    Export certificate

  2. Pilih Tidak, jangan ekspor kunci privat, lalu klik Berikutnya.

    Do not export the private key

  3. Pada halaman Format File Ekspor, pilih Base-64 dikodekan X.509 (. CER)., lalu klik Selanjutnya.

    Base-64 encoded

  4. Untuk File yang akan Diekspor,Telusuri lokasi di mana Anda ingin mengekspor sertifikat. Untuk Nama file, beri nama file sertifikat. Lalu, klik Berikutnya.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  5. Klik Selesai untuk mengekspor sertifikat.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  6. Sertifikat Anda berhasil diekspor.

    Screenshot shows the Certificate Export Wizard with a success message.

    Sertifikat yang diekspor terlihat mirip dengan ini:

    Screenshot shows a certificate symbol.

  7. Jika Anda membuka sertifikat yang diekspor menggunakan Notepad, Anda akan melihat hal yang mirip dengan contoh ini. Bagian berwarna biru berisi informasi yang diunggah ke gateway aplikasi. Jika Anda membuka sertifikat dengan Notepad dan sertifikat tersebut tidak terlihat mirip dengan gambar berikut, biasanya ini berarti Anda tidak mengekspornya menggunakan format Base-64 encoded X.509(.CER). Selain itu, jika Anda ingin menggunakan penyunting teks yang berbeda, pahami bahwa beberapa penyunting dapat memasukkan pemformatan yang tidak diinginkan di latar belakang. Pemformatan Ini dapat menyebabkan masalah ketika mengunggah teks dari sertifikat tersebut ke Azure.

    Open with Notepad

Ekspor sertifikat akar tepercaya (untuk SKU v2)

Sertifikat akar terpercaya diperlukan untuk mengizinkan instans ujung belakang di gateway aplikasi SKU v2. Sertifikat akar adalah sertifikat akar dengan format Base-64 encoded X.509(.CER) dari sertifikat server ujung belakang. Dalam contoh ini, kita akan menggunakan sertifikat TLS/SSL untuk sertifikat backend, mengekspor kunci publiknya lalu mengekspor sertifikat akar CA tepercaya dari kunci publik dalam format yang dikodekan base64 untuk mendapatkan sertifikat akar tepercaya. Sertifikat perantara harus dibundel dengan sertifikat server dan diinstal pada server ujung belakang.

Langkah-langkah berikut membantu Anda mengekspor file .cer untuk sertifikat Anda:

  1. Gunakan langkah 1 - 8 yang disebutkan di bagian sebelumnya sertifikat autentikasi Ekspor (untuk SKU v1 ) untuk mengekspor kunci umum dari sertifikat ujung belakang Anda.

  2. Setelah kunci umum diekspor, buka file.

    Open authorization certificate

    about certificate

  3. Pindah ke tampilan Jalur Sertifikasi untuk menampilkan otoritas sertifikasi.

    cert details

  4. Pilih sertifikat akar dan klik Lihat Sertifikat.

    cert path

    Anda akan melihat detail sertifikat akar.

    cert info

  5. Pindah ke tampilan Detail dan klik Salin ke File...

    copy root cert

  6. Pada titik ini, Anda telah mengekstrak detail sertifikat akar dari sertifikat ujung belakang. Anda akan melihat Wizard Ekspor Sertifikat. Sekarang gunakan langkah 2-9 yang disebutkan di bagian Sertifikat autentikasi ekspor dari sertifikat ujung belakang (untuk SKU v1) di atas untuk mengekspor sertifikat akar tepercaya dengan format Basis-64 encoded X.509(. CER).

Langkah berikutnya

Sekarang Anda memiliki sertifikat autentikasi/sertifikat akar tepercaya dengan format Base-64 encoded X.509(. CER). Anda dapat menambahkan sertifikat ini ke gateway aplikasi untuk mengizinkan enkripsi TLS end-to-end pada server ujung belakang Anda. Lihat Konfigurasi TLS end-to-end dengan menggunakan Application Gateway dengan PowerShell.