Criar certificados para permitir o back-end com o Gateway de Aplicação do Azure

Para fazer TLS de ponta a ponta, o Application Gateway exige que as instâncias de back-end sejam permitidas carregando autenticação/certificados raiz confiáveis. Para o SKU v1, os certificados de autenticação são necessários, mas para o SKU v2 são necessários certificados raiz confiáveis para permitir os certificados.

Neste artigo, vai aprender a:

• Exportar certificado de autenticação de um certificado de back-end (para SKU v1)
• Exportar certificado raiz confiável de um certificado de back-end (para SKU v2)

Pré-requisitos

Um certificado de back-end existente é necessário para gerar os certificados de autenticação ou certificados raiz confiáveis necessários para permitir instâncias de back-end com o Application Gateway. O certificado de back-end pode ser o mesmo que o certificado TLS/SSL ou diferente para maior segurança. O Application Gateway não fornece nenhum mecanismo para criar ou comprar um certificado TLS/SSL. Para fins de teste, você pode criar um certificado autoassinado, mas não deve usá-lo para cargas de trabalho de produção.

Exportar certificado de autenticação (para SKU v1)

Um certificado de autenticação é necessário para permitir instâncias de back-end na SKU do Application Gateway v1. O certificado de autenticação é a chave pública dos certificados do servidor back-end no X.509(. CER). Neste exemplo, você usará um certificado TLS/SSL para o certificado de back-end e exportará sua chave pública para ser usada como certificação de autenticação. Além disso, neste exemplo, você usará a ferramenta Gerenciador de Certificados do Windows para exportar os certificados necessários. Você pode optar por usar qualquer outra ferramenta que seja conveniente.

A partir do seu certificado TLS/SSL, exporte o ficheiro de .cer de chave pública (não a chave privada). As etapas a seguir ajudam a exportar o arquivo .cer no X.509(. CER) para o seu certificado:

1. Para obter um ficheiro .cer a partir do certificado, abra Gerir certificados de utilizador. Localize o certificado, normalmente em 'Certificados - Usuário Atual\Pessoal\Certificados', e clique com o botão direito do mouse. Clique em Todas as Tarefas e, em seguida, clique em Exportar. Esta ação abre o Assistente para Exportar Certificados. Se quiser abrir o Gerenciador de Certificados no escopo de usuário atual usando o PowerShell, digite certmgr na janela do console.

Nota

Se não conseguir encontrar o certificado em Utilizador Atual\Pessoal\Certificados, poderá ter aberto acidentalmente "Certificados - Computador Local", em vez de "Certificados - Utilizador Atual").

1. No Assistente, clique em Seguinte.

   

2. Selecione Não, não exportar a chave privada e, em seguida, clique em Seguinte.

   

3. Na página Formato do Ficheiro de Exportação, selecione X.509 codificado com Base-64 (.CER). e, em seguida, clique em Seguinte.

   

4. Em Arquivo a Exportar, Navegue até o local para o qual deseja exportar o certificado. Em Nome do ficheiro, atribua um nome ao ficheiro de certificado. Clique depois em Seguinte.

   

5. Clique em Concluir para exportar o certificado.

   

6. O seu certificado foi exportado com sucesso.

   

   O certificado exportado é semelhante a este:

   

7. Se você abrir o certificado exportado usando o Bloco de Notas, verá algo semelhante a este exemplo. A seção em azul contém as informações que são carregadas no gateway de aplicativo. Se você abrir seu certificado com o Bloco de Notas e ele não for semelhante a isso, normalmente isso significa que você não o exportou usando o X.509(. CER). Além disso, se você quiser usar um editor de texto diferente, entenda que alguns editores podem introduzir formatação não intencional em segundo plano. Isso pode criar problemas ao carregar o texto desse certificado no Azure.

   

Exportar certificado raiz confiável (para v2 SKU)

O certificado raiz confiável é necessário para permitir instâncias de back-end no SKU do gateway de aplicativo v2. O certificado raiz é um X.509(. CER) formatar certificado raiz dos certificados do servidor back-end. Neste exemplo, usaremos um certificado TLS/SSL para o certificado de back-end, exportaremos sua chave pública e, em seguida, exportaremos o certificado raiz da CA confiável da chave pública no formato codificado base64 para obter o certificado raiz confiável. O(s) certificado(s) intermediário(s) deve(m) ser empacotado(s) com o certificado do servidor e instalado no servidor back-end.

As etapas a seguir ajudam a exportar o arquivo de .cer para seu certificado:

1. Use as etapas 1 a 8 mencionadas na seção anterior Exportar certificado de autenticação (para SKU v1) para exportar a chave pública do seu certificado de back-end.

2. Depois que a chave pública tiver sido exportada, abra o arquivo.

   

   

3. Vá para a visualização Caminho de Certificação para exibir a autoridade de certificação.

   

4. Selecione o certificado raiz e clique em Exibir certificado.

   

   Você deve ver os detalhes do certificado raiz.

   

5. Vá para a vista Detalhes e clique em Copiar para Ficheiro...

   

6. Neste ponto, você extraiu os detalhes do certificado raiz do certificado de back-end. Você verá o Assistente para Exportação de Certificados. Agora, use as etapas 2 a 9 mencionadas na seção Exportar certificado de autenticação de um certificado de back-end (para SKU v1) acima para exportar o certificado raiz confiável no X.509(. CER).

Próximos passos

Agora você tem o certificado de autenticação/certificado raiz confiável em Base-64 codificado X.509(. CER). Você pode adicioná-lo ao gateway de aplicativo para permitir que seus servidores back-end criem criptografia TLS de ponta a ponta. Consulte Configurar TLS de ponta a ponta usando o Application Gateway com PowerShell.