Criar certificados para permitir o back-end com o Gateway de Aplicativo do Azure

Para executar o TLS de ponta a ponta, o Gateway de Aplicativo exige que as instâncias de back-end tenham permissão de carregar certificados raiz confiáveis ou de autenticação. Para o SKU v1, os certificados de autenticação são necessários e, para o SKU v2, os certificados raiz confiáveis são necessários para permitir os certificados.

Neste artigo, você aprenderá como:

• Exportar certificado de autenticação de um certificado de back-end (para SKU v1)
• Exportar certificado raiz confiável de um certificado de back-end (para SKU v2)

Pré-requisitos

Um certificado de back-end existente é necessário para gerar os certificados de autenticação ou certificados raiz confiáveis necessários para permitir instâncias de back-end com o Gateway de Aplicativo. O certificado de back-end pode ser o mesmo que o certificado TLS/SSL ou diferente para maior segurança. O Gateway de Aplicativo não fornece nenhum mecanismo para criar ou comprar um certificado TLS/SSL. Para fins de teste, você pode criar um certificado auto-assinado, mas não deve usá-lo para cargas de trabalho de produção.

Exportar certificado de autenticação (para SKU v1)

Um certificado de autenticação é necessário para permitir instâncias de back-end no SKU do Gateway de Aplicativo v1. O certificado de autenticação é a chave pública dos certificados do servidor back-end codificado em Base 64 no formato X.509 (.CER). Neste exemplo, você usará um certificado TLS/SSL para o certificado de back-end e exportará sua chave pública para ser usada como certificação de autenticação. Além disso, neste exemplo, você usará a ferramenta Gerenciador de Certificados do Windows para exportar os certificados necessários. Você pode optar por usar qualquer outra ferramenta conveniente.

No certificado TLS/SSL, exporte o arquivo .cer da chave pública (não a chave privada). As etapas a seguir ajudam você a exportar o arquivo .cer codificado em Base 64 em formato X.509 (.CER) para seu certificado:

1. Para obter um arquivo .cer do certificado, abra Gerenciar certificados de usuário. Localize o certificado, que normalmente fica em 'Certificados – Usuário Atual\Pessoal\Certificados', e clique nele com o botão direito do mouse. Clique em Todas as Tarefas e, em seguida, em Exportar. Isso abre o Assistente para Exportação de Certificados. Se você quiser abrir o Gerenciador de Certificados no escopo do usuário atual usando o PowerShell, digite certmgr na janela do console.

Observação

Se você não encontrar o certificado em Usuário\Pessoal\Certificados, pode ser que você tenha aberto acidentalmente “Certificados - Computador Local” em vez de “Certificados - Usuário Atual”.

1. No Assistente, clique em Avançar.

   

2. Selecione Não exportar a chave privada e clique em Avançar.

   

3. Na página Exportar Formato de Arquivo, selecione X.509 codificado em Base 64 (.CER). e clique em Avançar.

   

4. Para o Arquivo a ser Exportado, use Procurar para encontrar a localização para a qual você deseja exportar o certificado. Em Nome do arquivo, dê um nome ao arquivo de certificado. Em seguida, clique em Avançar.

   

5. Clique em Concluir para exportar o certificado.

   

6. O certificado foi exportado com êxito.

   

   O certificado exportado é semelhante a este:

   

7. Se você abrir o certificado exportado usando o Bloco de Notas, verá algo semelhante a este exemplo. A seção em azul contém as informações carregadas para o gateway de aplicativo. Se você abrir o certificado com o Bloco de Notas e ele não for semelhante a este, isso normalmente significa que o certificado não foi exportado usando o formato X.509 (.CER) codificado em Base-64. Além disso, se você quiser usar um editor de texto diferente, é importante saber que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao fazer upload do texto desse certificado para o Azure.

   

Exportar certificado raiz confiável (para SKU v2)

O certificado raiz confiável é necessário para permitir instâncias de back-end no SKU do gateway de aplicativo v2. O certificado raiz tem um formato de codificação Base 64 X.509(.CER) do servidor de certificados back-end. Neste exemplo, vamos usar um certificado TLS/SSL para o certificado de back-end, exportar a chave pública e depois exportar o certificado raiz da AC confiável da chave pública no formato codificado em base64 para obter o certificado raiz confiável. Os certificados intermediários devem ser agrupados com o certificado do servidor e instalados no servidor de back-end.

As etapas a seguir ajudam a exportar o arquivo .cer para seu certificado:

1. Use as etapas 1-8 mencionadas na seção anterior Exportar certificado de autenticação (para SKU v1) para exportar a chave pública do seu certificado de back-end.

2. Depois que a chave pública tiver sido exportada, abra o arquivo.

   

   

3. Vá para a exibição do caminho de certificação para exibir a autoridade de certificação.

   

4. Selecione o certificado raiz e clique em Exibir Certificado.

   

   Os detalhes do certificado raiz serão exibidos.

   

5. Vá para o modo de exibição de detalhes e clique em copiar para arquivo

   

6. Neste ponto, você extraiu os detalhes do certificado raiz do certificado de back-end. O Assistente para Exportação de Certificados será exibido. Agora, use as etapas 2 a 9 mencionadas na seção Exportar certificado de autenticação de um certificado de back-end (para SKU v1) acima para exportar o certificado raiz confiável no X.509 codificado em Base 64 (.CER).

Próximas etapas

Agora você tem o certificado de autenticação/certificado raiz confiável no X.509 codificado em Base 64 (.CER). Você pode adicioná-lo ao gateway de aplicativo para permitir que seus servidores de back-end para criptografia TLS de ponta a ponta. Consulte Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell.