Обновление сертификатов шлюза приложений

Статья
03/09/2023

Если вы настроили в шлюзе приложений TLS/SSL-шифрование, рано или поздно вам придется обновить сертификаты.

Существует два расположения, где могут существовать сертификаты: сертификаты, хранящиеся в Azure Key Vault, или сертификаты, отправленные в шлюз приложений.

Сертификаты в Azure Key Vault

Если Шлюз приложений настроено использовать сертификаты Key Vault, его экземпляры извлекают сертификат из Key Vault и устанавливают их локально для завершения TLS. Экземпляры опрашивает Key Vault через четыре часа, чтобы получить обновленную версию сертификата, если она существует. При обнаружении обновленного сертификата tls/SSL-сертификат, связанный с прослушивателем HTTPS, автоматически поворачивается.

Совет

Любые изменения в Шлюз приложений принудительно принудит проверка к Key Vault, чтобы узнать, доступны ли какие-либо новые версии сертификатов. Это включает в себя, но не ограничивается, изменения конфигураций ВНЕШНИх IP-адресов, прослушивателей, правил, внутренних пулов, тегов ресурсов и т. д. При обнаружении обновленного сертификата будет немедленно представлен новый сертификат.

Шлюз приложений использует идентификатор секрета в Key Vault для ссылки на сертификаты. Для Azure PowerShell, Azure CLI или Azure Resource Manager настоятельно рекомендуется использовать секретный идентификатор, который не указывает версию. Таким образом, Шлюз приложений автоматически сменит сертификат, если в хранилище ключей доступна более новая версия. Пример URI секрета без версии https://myvault.vault.azure.net/secrets/mysecret/.

Сертификаты в шлюзе приложений

Шлюз приложений поддерживает отправку сертификатов без необходимости настройки Azure Key Vault. Чтобы продлить отправленные сертификаты, выполните следующие действия для портал Azure, Azure PowerShell или Azure CLI.

Портал Azure

Чтобы обновить сертификат прослушивателя на портале, перейдите к прослушивателям шлюза приложений. Выберите прослушиватель, сертификат которого необходимо обновить, и выберите Продлить или изменить выбранный сертификат.

Renew certificate

Передайте новый сертификат в формате PFX, присвойте ему имя, введите пароль и нажмите кнопку Сохранить.

Azure PowerShell

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Чтобы обновить сертификат с помощью Azure PowerShell, используйте следующий сценарий:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Следующие шаги

Сведения о настройке разгрузки TLS с помощью Шлюз приложений Azure см. в разделе "Настройка разгрузки TLS".