Azure Application Gateway でバックエンドを許可する証明書を作成するCreate certificates to allow the backend with Azure Application Gateway

エンド ツー エンド TLS を実行するために、Application Gateway では、認証証明書または信頼されたルート証明書をアップロードしてバックエンド インスタンスを許可する必要があります。To do end to end TLS, Application Gateway requires the backend instances to be allowed by uploading authentication/trusted root certificates. 証明書を許可するために、v1 SKU の場合は認証証明書が必要ですが、v2 SKU の場合は信頼されたルート証明書が必要です。For the v1 SKU, authentication certificates are required, but for the v2 SKU trusted root certificates are required to allow the certificates.

この記事では、次の方法について説明します。In this article, you learn how to:

  • バックエンド証明書から認証証明書をエクスポートする (v1 SKU の場合)Export authentication certificate from a backend certificate (for v1 SKU)
  • バックエンド証明書からの信頼されたルート証明書のエクスポート (v2 SKU の場合)Export trusted root certificate from a backend certificate (for v2 SKU)

前提条件Prerequisites

Application Gateway に対してバックエンド インスタンスを許可するために必要な認証証明書または信頼されたルート証明書を生成するには、既存のバックエンド証明書が必要です。An existing backend certificate is required to generate the authentication certificates or trusted root certificates required for allowing backend instances with Application Gateway. バックエンド証明書は、TLS/SSL 証明書と同じにすることも、セキュリティを強化するために別のものにすることもできます。The backend certificate can be the same as the TLS/SSL certificate or different for added security. Application Gateway では、TLS/SSL 証明書を作成または購入するためのメカニズムは提供されません。Application Gateway doesn't provide you any mechanism to create or purchase an TLS/SSL certificate. テストの目的で自己署名証明書を作成できますが、運用環境ワークロードでは使用しないでください。For testing purposes, you can create a self-signed certificate but you shouldn't use it for production workloads.

認証証明書をエクスポートする (v1 SKU の場合)Export authentication certificate (for v1 SKU)

認証証明書は、Application Gateway v1 SKU でバックエンド インスタンスを許可するために必要です。An authentication certificate is required to allow backend instances in Application Gateway v1 SKU. 認証証明書は、Base-64 エンコード X.509(.CER) 形式のバックエンド サーバー証明書の公開キーです。The authentication certificate is the public key of backend server certificates in Base-64 encoded X.509(.CER) format. この例では、バックエンド証明書に TLS/SSL 証明書を使用し、認証証明書として使用するためにその公開キーをエクスポートします。In this example, you'll use a TLS/SSL certificate for the backend certificate and export its public key to be used as authentication certification. また、この例では、Windows 証明書マネージャー ツールを使用して必要な証明書をエクスポートします。Also, in this example, you'll use the Windows Certificate Manager tool to export the required certificates. ご都合に応じて他の任意のツールを使用できます。You can choose to use any other tool that is convenient.

TLS/SSL 証明書から公開キー .cer ファイルをエクスポートします (秘密キーではありません)。From your TLS/SSL certificate, export the public key .cer file (not the private key). 次の手順で、証明書のために Base-64 エンコード X.509(.CER) 形式の .cer ファイルをエクスポートします。The following steps help you export the .cer file in Base-64 encoded X.509(.CER) format for your certificate:

  1. 証明書から .cer ファイルを取得するには、 [ユーザー証明書の管理] を開きます。To obtain a .cer file from the certificate, open Manage user certificates. 証明書を探して右クリックします (通常は Current User\Personal\Certificates にあります)。Locate the certificate, typically in 'Certificates - Current User\Personal\Certificates', and right-click. [すべてのタスク][エクスポート] の順にクリックします。Click All Tasks, and then click Export. 証明書のエクスポート ウィザードが開きます。This opens the Certificate Export Wizard. Current User\Personal\Certificates に証明書が見つからない場合は、誤って "Certificates - Current User" ではなく "Certificates - Local Computer" を開いている可能性があります。If you can't find the certificate under Current User\Personal\Certificates, you may have accidentally opened "Certificates - Local Computer", rather than "Certificates - Current User"). PowerShell を使用して現在のユーザー スコープで証明書マネージャーを開きたい場合は、コンソール ウィンドウで「certmgr」と入力します。If you want to open Certificate Manager in current user scope using PowerShell, you type certmgr in the console window.

    証明書が選択されている証明書管理者と、[すべてのタスク]、[エクスポート] が選択されているコンテキスト メニューを示すスクリーンショット。

  2. ウィザードで [次へ] をクリックします。In the Wizard, click Next.

    証明書をエクスポートします。

  3. [いいえ、秘密キーをエクスポートしません] を選択して、 [次へ] をクリックします。Select No, do not export the private key, and then click Next.

    秘密キーをエクスポートしません

  4. [エクスポート ファイルの形式] ページで [Base-64 encoded X.509 (.CER)] を選択し、 [次へ] をクリックします。On the Export File Format page, select Base-64 encoded X.509 (.CER)., and then click Next.

    Base-64 エンコード

  5. [エクスポートするファイル] で、 [参照] をクリックして証明書をエクスポートする場所を選択します。For File to Export, Browse to the location to which you want to export the certificate. [ファイル名] に証明書ファイルの名前を指定します。For File name, name the certificate file. 次に、 [次へ] をクリックします。Then, click Next.

    エクスポートするファイルを指定する証明書のエクスポート ウィザードが表示されているスクリーンショット。

  6. [完了] をクリックして、証明書をエクスポートします。Click Finish to export the certificate.

    ファイル エクスポートの完了後の証明書のエクスポート ウィザードが表示されているスクリーンショット。

  7. 証明書が正常にエクスポートされました。Your certificate is successfully exported.

    成功を示すメッセージが表示された証明書のエクスポート ウィザードを示すスクリーンショット。

    エクスポートされた証明書は次のようになります。The exported certificate looks similar to this:

    証明書のシンボルを示すスクリーンショット。

  8. メモ帳を使ってエクスポートした証明書を開くと、この例のようなものが表示されます。If you open the exported certificate using Notepad, you see something similar to this example. 青で示したセクションには、Application Gateway にアップロードされる情報が含まれます。The section in blue contains the information that is uploaded to application gateway. 証明書をメモ帳で開いてもこのように表示されない場合は、通常、Base-64 エンコードの X.509 (.CER) 形式を使ってエクスポートしなかったことを意味します。If you open your certificate with Notepad and it doesn't look similar to this, typically this means you didn't export it using the Base-64 encoded X.509(.CER) format. また、別のテキスト エディターを使う場合は、一部のエディターでは意図しない書式設定がバックグラウンドで行われる場合があることに注意してください。Additionally, if you want to use a different text editor, understand that some editors can introduce unintended formatting in the background. これにより、この証明書から Azure にテキストをアップロードすると問題が発生する可能性があります。This can create problems when uploaded the text from this certificate to Azure.

    メモ帳で開く

信頼されたルート証明書をエクスポートする (V2 SKU の場合)Export trusted root certificate (for v2 SKU)

信頼されたルート証明書は、Application Gateway v2 SKU でバックエンド インスタンスを許可するために必要です。Trusted root certificate is required to allow backend instances in application gateway v2 SKU. このルート証明書は、バックエンド サーバー証明書からの Base-64 エンコード X.509(.CER) 形式のルート証明書です。The root certificate is a Base-64 encoded X.509(.CER) format root certificate from the backend server certificates. この例では、バックエンド証明書に TLS/SSL 証明書を使用し、その公開キーをエクスポートし、base64 エンコード形式の公開キーから信頼された CA のルート証明書をエクスポートして、信頼されたルート証明書を取得します。In this example, we will use a TLS/SSL certificate for the backend certificate, export its public key and then export the root certificate of the trusted CA from the public key in base64 encoded format to get the trusted root certificate. 中間証明書は、サーバー証明書とバンドルして、バックエンド サーバーにインストールする必要があります。The intermediate certificate(s) should be bundled with server certificate and installed on the backend server.

次の手順で、証明書のための .cer ファイルをエクスポートします。The following steps help you export the .cer file for your certificate:

  1. 前述の「認証証明書をエクスポートする (v1 SKU の場合)」セクションの手順 1 - 8 に従って、バックエンド証明書から公開キーをエクスポートします。Use the steps 1 - 8 mentioned in the previous section Export authentication certificate (for v1 SKU) to export the public key from your backend certificate.

  2. 公開キーがエクスポートされたらファイルを開きます。Once the public key has been exported, open the file.

    認証証明書を開く

    証明書について

  3. [証明のパス] ビューに移動して証明機関を表示します。Move to the Certification Path view to view the certification authority.

    証明書の詳細

  4. ルート証明書を選択して、 [証明書の表示] をクリックします。Select the root certificate and click on View Certificate.

    証明書のパス

    ルート証明書の詳細が表示されます。You should see the root certificate details.

    証明書の情報

  5. [詳細] ビューに移動し、 [ファイルにコピー...] をクリックします。Move to the Details view and click Copy to File...

    ルート証明書のコピー

  6. この時点で、バックエンド証明書からルート証明書の詳細を抽出しました。At this point, you've extracted the details of the root certificate from the backend certificate. 証明書のエクスポート ウィザードが表示されます。You'll see the Certificate Export Wizard. ここで、前述の「バックエンド証明書から認証証明書をエクスポートする (v1 SKU の場合) 」セクションの手順 2 - 9 に従って、Base-64 エンコード X.509(.CER) 形式の信頼されたルート証明書をエクスポートします。Now use steps 2-9 mentioned in the section Export authentication certificate from a backend certificate (for v1 SKU) above to export the trusted root certificate in the Base-64 encoded X.509(.CER) format.

次のステップNext steps

Base-64 エンコード X.509(.CER) 形式の認証証明書/信頼されたルート証明書を入手しました。Now you have the authentication certificate/trusted root certificate in Base-64 encoded X.509(.CER) format. これをアプリケーション ゲートウェイに追加して、エンド ツー エンド TLS 暗号化に対してバックエンド サーバーを許可できます。You can add this to the application gateway to allow your backend servers for end to end TLS encryption. Application Gateway での PowerShell を使用したエンド ツー エンド TLS の構成に関する記事を参照してください。See Configure end to end TLS by using Application Gateway with PowerShell.