Memperpanjang sertifikat Application Gateway

Artikel
10/24/2023

Pada titik tertentu, Anda harus memperbarui sertifikat jika mengonfigurasi gateway aplikasi untuk enkripsi TLS/SSL.

Ada dua lokasi di mana sertifikat mungkin ada: sertifikat yang disimpan di Azure Key Vault, atau sertifikat yang diunggah ke gateway aplikasi.

Sertifikat di Azure Key Vault

Ketika Application Gateway dikonfigurasi untuk menggunakan sertifikat Key Vault, instansnya mengambil sertifikat dari Key Vault dan menginstalnya secara lokal untuk penghentian TLS. Instans melakukan polling Key Vault pada interval empat jam untuk mengambil versi sertifikat yang diperbarui jika ada. Jika sertifikat yang diperbarui ditemukan, sertifikat TLS/SSL yang saat ini terkait dengan pendengar HTTPS akan diputar secara otomatis.

Tip

Setiap perubahan pada Application Gateway akan memaksa pemeriksaan terhadap Key Vault untuk melihat apakah ada versi sertifikat baru yang tersedia. Ini termasuk, tetapi tidak terbatas pada, perubahan pada Konfigurasi IP Frontend, Pendengar, Aturan, Kumpulan Backend, Tag Sumber Daya, dan banyak lagi. Jika sertifikat yang diperbarui ditemukan, sertifikat baru akan segera disajikan.

Application Gateway menggunakan pengenal rahasia di Key Vault untuk mereferensikan sertifikat. Untuk Azure PowerShell, CLI Azure, atau Azure Resource Manager, kami sangat menyarankan Anda menggunakan pengidentifikasi rahasia yang tidak menentukan sebuah versi. Dengan cara ini, Application Gateway akan secara otomatis memutar sertifikat jika versi yang lebih baru tersedia di brankas kunci Anda. Contoh URI rahasia tanpa versi adalah https://myvault.vault.azure.net/secrets/mysecret/.

Sertifikat pada gateway aplikasi

Application Gateway mendukung unggahan sertifikat tanpa perlu mengonfigurasi Azure Key Vault. Untuk memperbarui sertifikat yang diunggah, gunakan langkah-langkah berikut untuk portal Azure, Azure PowerShell, atau Azure CLI.

Portal Azure

Untuk memperbarui sertifikat listener dari portal, navigasikan ke listener gateway aplikasi Anda. Pilih listener yang memiliki sertifikat yang perlu diperbarui, lalu pilih Perbarui atau edit sertifikat yang dipilih.

Renew certificate

Unggah sertifikat PFX baru Anda, beri nama, ketik kata sandi, lalu pilih Simpan.

Azure PowerShell

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Untuk memperbarui sertifikat Anda menggunakan Azure PowerShell, gunakan skrip berikut ini:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Langkah berikutnya

Untuk mempelajari cara mengonfigurasi Offloading TLS dengan Azure Application Gateway, lihat Mengonfigurasi Offload TLS.