Azure Application Gateway ile arka uca izin vermek için sertifika oluşturma

  • Makale

Uçtan uca TLS yapmak için Application Gateway, kimlik doğrulaması/güvenilen kök sertifikaları karşıya yükleyerek arka uç örneklerine izin verilmelidir. v1 SKU'su için kimlik doğrulama sertifikaları gereklidir, ancak v2 SKU güvenilen kök sertifikalarında sertifikalara izin vermek için gereklidir.

Bu makalede şunları öğreneceksiniz:

  • Kimlik doğrulama sertifikasını arka uç sertifikasından dışarı aktarma (v1 SKU için)
  • Arka uç sertifikasından güvenilen kök sertifikayı dışarı aktarma (v2 SKU için)

Ön koşullar

Application Gateway ile arka uç örneklerine izin vermek için gereken kimlik doğrulama sertifikalarını veya güvenilen kök sertifikaları oluşturmak için mevcut bir arka uç sertifikası gereklidir. Arka uç sertifikası TLS/SSL sertifikasıyla aynı veya ek güvenlik için farklı olabilir. Application Gateway size TLS/SSL sertifikası oluşturmak veya satın almak için herhangi bir mekanizma sağlamaz. Test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz, ancak bunu üretim iş yükleri için kullanmamalısınız.

Kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için)

Application Gateway v1 SKU'sunda arka uç örneklerine izin vermek için bir kimlik doğrulama sertifikası gereklidir. Kimlik doğrulama sertifikası, Base-64 ile kodlanmış X.509() içindeki arka uç sunucu sertifikalarının ortak anahtarıdır. CER) biçimi. Bu örnekte, arka uç sertifikası için bir TLS/SSL sertifikası kullanacak ve kimlik doğrulama sertifikası olarak kullanılacak ortak anahtarını dışarı aktaracaksınız. Ayrıca, bu örnekte gerekli sertifikaları dışarı aktarmak için Windows Sertifika Yöneticisi aracını kullanacaksınız. Uygun olan başka herhangi bir aracı kullanmayı seçebilirsiniz.

TLS/SSL sertifikanızdan ortak anahtar .cer dosyasını dışarı aktarın (özel anahtar değil). Aşağıdaki adımlar Base-64 ile kodlanmış X.509() içinde .cer dosyasını dışarı aktarmanıza yardımcı olur. SERTIFIKAnızın CER) biçimi:

  1. Sertifikadan bir .cer dosyası almak için Kullanıcı sertifikalarını yönet menüsünü açın. Genellikle 'Sertifikalar - Geçerli Kullanıcı\Kişisel\Sertifikalar' bölümünde sertifikayı bulun ve sağ tıklayın. Tüm Görevler’e tıklayın ve ardından Dışarı Aktar’a tıklayın. Sertifika Dışarı Aktarma Sihirbazı açılır. PowerShell kullanarak geçerli kullanıcı kapsamında Sertifika Yöneticisi'ni açmak istiyorsanız konsol penceresine certmgr yazarsınız.

Dekont

Sertifikayı Geçerli Kullanıcı\Kişisel\Sertifikalar altında bulamazsanız, "Sertifikalar - Geçerli Kullanıcı" yerine yanlışlıkla "Sertifikalar - Yerel Bilgisayar" seçeneğini açmış olabilirsiniz.

Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  1. Sihirbazda, İleri’ye tıklayın.

    Export certificate

  2. Hayır, özel anahtarı dışarı aktarma’yı seçin ve İleri’ye tıklayın.

    Do not export the private key

  3. Dışarı Aktarma Dosyası Biçimi sayfasında Base-64 ile kodlanmış X.509 (.CER) seçeneğini belirleyin ve İleri’ye tıklayın.

    Base-64 encoded

  4. Dışarı Aktaracak Dosya için, sertifikayı dışarı aktarmak istediğiniz konuma gidin. Dosya adı alanına, sertifika dosyası için bir ad girin. Ardından İleri'ye tıklayın.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  5. Sertifikayı dışarı aktarmak için Son'a tıklayın.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  6. Sertifikanız başarıyla dışarı aktarıldı.

    Screenshot shows the Certificate Export Wizard with a success message.

    Dışarı aktarılan sertifika şuna benzer:

    Screenshot shows a certificate symbol.

  7. Dışarı aktarılan sertifikayı Not Defteri kullanarak açarsanız, bu örneğe benzer bir şey görürsünüz. Mavi renkli bölüm, uygulama ağ geçidine yüklenen bilgileri içerir. Sertifikanızı Not Defteri ile açarsanız ve buna benzer görünmüyorsa, bu genellikle Base-64 ile kodlanmış X.509() kullanarak dışarı aktarmadığınız anlamına gelir. CER) biçimi. Ayrıca, farklı bir metin düzenleyicisi kullanmak istiyorsanız, bazı düzenleyicilerin arka planda istenmeyen biçimlendirmeler oluşturabileceğini anlayın. Bu, bu sertifikadan Azure'a metin yüklendiğinde sorun oluşturabilir.

    Open with Notepad

Güvenilen kök sertifikayı dışarı aktarma (v2 SKU için)

Application Gateway v2 SKU'sunda arka uç örneklerine izin vermek için güvenilen kök sertifika gereklidir. Kök sertifika, Base-64 ile kodlanmış X.509() şeklindedir. CER) kök sertifikasını arka uç sunucu sertifikalarından biçimlendirin. Bu örnekte, arka uç sertifikası için bir TLS/SSL sertifikası kullanacağız, ortak anahtarını dışarı aktaracak ve ardından güvenilen kök sertifikayı almak için ortak anahtardan temel64 kodlanmış biçimdeki güvenilen CA'nın kök sertifikasını dışarı aktaracağız. Ara sertifikalar, sunucu sertifikasıyla birlikte paketlenmeli ve arka uç sunucusuna yüklenmelidir.

Aşağıdaki adımlar sertifikanızın .cer dosyasını dışarı aktarmanıza yardımcı olur:

  1. Ortak anahtarı arka uç sertifikanızdan dışarı aktarmak için kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için) bölümünde belirtilen 1 - 8 arası adımları kullanın.

  2. Ortak anahtar dışarı aktarıldıktan sonra dosyayı açın.

    Open authorization certificate

    about certificate

  3. Sertifika yetkilisini görüntülemek için Sertifika Yolu görünümüne gidin.

    cert details

  4. Kök sertifikayı seçin ve Sertifikayı Görüntüle'ye tıklayın.

    cert path

    Kök sertifika ayrıntılarını görmeniz gerekir.

    cert info

  5. Ayrıntılar görünümüne geçin ve Dosyaya Kopyala... öğesine tıklayın.

    copy root cert

  6. Bu noktada, arka uç sertifikasından kök sertifikanın ayrıntılarını ayıkladiniz. Sertifika Dışarı Aktarma Sihirbazı'nı görürsünüz. Şimdi, Base-64 ile kodlanmış X.509() içindeki güvenilen kök sertifikayı dışarı aktarmak için yukarıdaki Arka uç sertifikasından kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için) bölümünde belirtilen 2-9 arası adımları kullanın. CER) biçimi.

Sonraki adımlar

Artık Base-64 ile kodlanmış X.509() içinde kimlik doğrulama sertifikasına/güvenilen kök sertifikaya sahipsiniz. CER) biçimi. Arka uç sunucularınızın uçtan uca TLS şifrelemesine izin vermek için bunu uygulama ağ geçidine ekleyebilirsiniz. Bkz . PowerShell ile Application Gateway kullanarak uçtan uca TLS yapılandırma.