Share via

Tworzenie certyfikatów w celu zezwalania na użycie zaplecze z usługą Azure Application Gateway

  • Artykuł

Aby zakończyć protokół TLS, usługa Application Gateway wymaga, aby wystąpienia zaplecza mogły być dozwolone przez przekazanie uwierzytelniania/zaufanych certyfikatów głównych. W przypadku jednostki SKU w wersji 1 wymagane są certyfikaty uwierzytelniania, ale w przypadku zaufanych certyfikatów głównych jednostki SKU w wersji 2 wymagane jest zezwolenie na certyfikaty.

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Eksportowanie certyfikatu uwierzytelniania z certyfikatu zaplecza (dla jednostki SKU w wersji 1)
  • Eksportowanie zaufanego certyfikatu głównego z certyfikatu zaplecza (dla jednostki SKU w wersji 2)

Wymagania wstępne

Istniejący certyfikat zaplecza jest wymagany do wygenerowania certyfikatów uwierzytelniania lub zaufanych certyfikatów głównych wymaganych do zezwalania na wystąpienia zaplecza w usłudze Application Gateway. Certyfikat zaplecza może być taki sam jak certyfikat TLS/SSL lub inny w przypadku dodanych zabezpieczeń. Usługa Application Gateway nie udostępnia żadnego mechanizmu tworzenia ani kupowania certyfikatu TLS/SSL. W celach testowych można utworzyć certyfikat z podpisem własnym, ale nie należy go używać w przypadku obciążeń produkcyjnych.

Eksportowanie certyfikatu uwierzytelniania (dla jednostki SKU w wersji 1)

Certyfikat uwierzytelniania jest wymagany do zezwalania na wystąpienia zaplecza w jednostce SKU usługi Application Gateway w wersji 1. Certyfikat uwierzytelniania jest kluczem publicznym certyfikatów serwera zaplecza w szyfrowanej kodzie Base-64 X.509(. Format CER). W tym przykładzie użyjesz certyfikatu TLS/SSL dla certyfikatu zaplecza i wyeksportujesz jego klucz publiczny do użycia jako certyfikat uwierzytelniania. Ponadto w tym przykładzie użyjesz narzędzia Menedżer certyfikatów systemu Windows do wyeksportowania wymaganych certyfikatów. Możesz użyć dowolnego innego narzędzia, które jest wygodne.

Z poziomu certyfikatu TLS/SSL wyeksportuj plik cer klucza publicznego (a nie klucz prywatny). Poniższe kroki ułatwiają eksportowanie pliku cer w formacie Base-64 x.509(. Format CER) dla certyfikatu:

  1. Aby uzyskać plik cer z certyfikatu, otwórz okno Zarządzaj certyfikatami użytkowników. Znajdź certyfikat, zazwyczaj w folderze "Certyfikaty — bieżący użytkownik\Osobisty\Certyfikaty", a następnie kliknij prawym przyciskiem myszy. Kliknij pozycję Wszystkie zadania, a następnie kliknij pozycję Eksportuj. Spowoduje to otwarcie Kreatora eksportu certyfikatów. Jeśli chcesz otworzyć Menedżera certyfikatów w bieżącym zakresie użytkownika przy użyciu programu PowerShell, wpisz polecenie certmgr w oknie konsoli.

Uwaga

Jeśli nie możesz znaleźć certyfikatu w obszarze Bieżący użytkownik\Osobiste\Certyfikaty, być może przypadkowo otwarto "Certyfikaty — komputer lokalny", a nie "Certyfikaty — bieżący użytkownik").

Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  1. W Kreatorze kliknij pozycję Dalej.

    Export certificate

  2. Wybierz pozycję Nie eksportuj klucza prywatnego, a następnie kliknij pozycję Dalej.

    Do not export the private key

  3. Na stronie Format pliku eksportu wybierz pozycję Certyfikat X.509 szyfrowany algorytmem Base-64 (.CER), a następnie kliknij pozycję Dalej.

    Base-64 encoded

  4. W obszarze Plik do eksportu przejdź do lokalizacji, do której chcesz wyeksportować certyfikat. Do pola Nazwa pliku wprowadź nazwę pliku certyfikatu. Następnie kliknij przycisk Dalej.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  5. Kliknij przycisk Zakończ, aby wyeksportować certyfikat.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  6. Certyfikat został pomyślnie wyeksportowany.

    Screenshot shows the Certificate Export Wizard with a success message.

    Wyeksportowany certyfikat wygląda podobnie do następującego:

    Screenshot shows a certificate symbol.

  7. Jeśli otworzysz wyeksportowany certyfikat przy użyciu Notatnik, zobaczysz coś podobnego do tego przykładu. Sekcja na niebiesko zawiera informacje przekazywane do bramy aplikacji. Jeśli otworzysz certyfikat przy użyciu Notatnik i nie będzie on podobny do tego, zazwyczaj oznacza to, że nie został on wyeksportowany przy użyciu zakodowanego w formacie Base-64 X.509(). Format CER). Ponadto, jeśli chcesz użyć innego edytora tekstów, należy pamiętać, że niektóre edytory mogą wprowadzać niezamierzone formatowanie w tle. Może to powodować problemy podczas przekazywania tekstu z tego certyfikatu na platformę Azure.

    Open with Notepad

Eksportowanie zaufanego certyfikatu głównego (dla jednostki SKU w wersji 2)

Zaufany certyfikat główny jest wymagany do zezwalania na wystąpienia zaplecza w jednostce SKU bramy aplikacji w wersji 2. Certyfikat główny jest szyfrowany algorytmem Base-64 X.509(. Certyfikat główny CER) formatuje z certyfikatów serwera zaplecza. W tym przykładzie użyjemy certyfikatu TLS/SSL dla certyfikatu zaplecza, wyeksportujemy jego klucz publiczny, a następnie wyeksportujemy certyfikat główny zaufanego urzędu certyfikacji z klucza publicznego w formacie zakodowanym w formacie base64, aby uzyskać zaufany certyfikat główny. Certyfikaty pośrednie powinny być powiązane z certyfikatem serwera i zainstalowane na serwerze zaplecza.

Poniższe kroki ułatwiają wyeksportowanie pliku cer dla certyfikatu:

  1. Wykonaj kroki 1 – 8 wymienione w poprzedniej sekcji Eksportowanie certyfikatu uwierzytelniania (dla jednostki SKU w wersji 1), aby wyeksportować klucz publiczny z certyfikatu zaplecza.

  2. Po wyeksportowaniu klucza publicznego otwórz plik.

    Open authorization certificate

    about certificate

  3. Przejdź do widoku Ścieżka certyfikacji, aby wyświetlić urząd certyfikacji.

    cert details

  4. Wybierz certyfikat główny i kliknij pozycję Wyświetl certyfikat.

    cert path

    Powinny zostać wyświetlone szczegóły certyfikatu głównego.

    cert info

  5. Przejdź do widoku Szczegóły i kliknij przycisk Kopiuj do pliku...

    copy root cert

  6. W tym momencie wyodrębniono szczegóły certyfikatu głównego z certyfikatu zaplecza. Zostanie wyświetlony Kreator eksportu certyfikatów. Teraz wykonaj kroki 2–9 wymienione w sekcji Eksportowanie certyfikatu uwierzytelniania z certyfikatu zaplecza (dla jednostki SKU w wersji 1) powyżej, aby wyeksportować zaufany certyfikat główny w zakodowanym standardzie Base-64 X.509(. Format CER).

Następne kroki

Teraz masz certyfikat uwierzytelniania/zaufany certyfikat główny w formacie Base-64 zakodowany X.509(. Format CER). Możesz dodać je do bramy aplikacji, aby umożliwić serwerom zaplecza kompleksowe szyfrowanie TLS. Zobacz Konfigurowanie kompleksowego protokołu TLS przy użyciu usługi Application Gateway z programem PowerShell.