Portalla Application Gateway'i kullanarak uçtan uca TLS'yi yapılandırma

  • Makale

Bu makalede, Azure Uygulaması Lication Gateway v1 SKU aracılığıyla Azure portalını kullanarak daha önce Güvenli Yuva Katmanı (SSL) şifrelemesi olarak bilinen uçtan uca Aktarım Katmanı Güvenliği (TLS) şifrelemesini yapılandırma işlemi açıklanmaktadır.

Dekont

Application Gateway v2 SKU'su, uçtan uca yapılandırmayı etkinleştirmek için güvenilen kök sertifikalar gerektirir.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Başlamadan önce

Uçtan uca TLS'yi bir uygulama ağ geçidiyle yapılandırmak için ağ geçidi için bir sertifikaya ihtiyacınız vardır. Arka uç sunucuları için sertifikalar da gereklidir. Ağ geçidi sertifikası, TLS protokol belirtimine uygun bir simetrik anahtar türetmek için kullanılır. Ardından simetrik anahtar, ağ geçidine gönderilen trafiği şifrelemek ve şifresini çözmek için kullanılır.

Uçtan uca TLS şifrelemesi için uygulama ağ geçidinde sağ arka uç sunucularına izin verilmelidir. Bu erişime izin vermek için, arka uç sunucularının Kimlik Doğrulama Sertifikaları (v1) veya Güvenilen Kök Sertifikalar (v2) olarak da bilinen ortak sertifikasını uygulama ağ geçidine yükleyin. Sertifikanın eklenmesi, uygulama ağ geçidinin yalnızca bilinen arka uç örnekleriyle iletişim kurmasını sağlar. Bu yapılandırma, uçtan uca iletişimin güvenliğini daha da sağlar.

Önemli

Arka uç sunucu sertifikası için bir hata iletisi alırsanız, ön uç sertifikası Ortak Adı'nın (CN) arka uç sertifikası CN ile eşleşip eşleşmediğini doğrulayın. Daha fazla bilgi için bkz . Güvenilen kök sertifika uyuşmazlığı

Daha fazla bilgi edinmek için bkz . Application Gateway ile TLS sonlandırma ve uçtan uca TLS'ye genel bakış.

Uçtan uca TLS ile yeni bir uygulama ağ geçidi oluşturma

Uçtan uca TLS şifrelemesi ile yeni bir uygulama ağ geçidi oluşturmak için, yeni bir uygulama ağ geçidi oluştururken önce TLS sonlandırmayı etkinleştirmeniz gerekir. Bu eylem, istemci ve uygulama ağ geçidi arasındaki iletişim için TLS şifrelemesini etkinleştirir. Ardından, HTTP ayarlarında arka uç sunucuları için sertifikaları Kasa Alıcılar listesine eklemeniz gerekir. Bu yapılandırma, uygulama ağ geçidi ile arka uç sunucuları arasındaki iletişim için TLS şifrelemesini etkinleştirir. Bu, uçtan uca TLS şifrelemesini gerçekleştirir.

Yeni bir uygulama ağ geçidi oluştururken TLS sonlandırmayı etkinleştirme

Daha fazla bilgi edinmek için bkz . Yeni bir uygulama ağ geçidi oluştururken TLS sonlandırmayı etkinleştirme.

Arka uç sunucularının kimlik doğrulama/kök sertifikalarını ekleme

  1. Tüm kaynaklar'ı ve ardından myAppGateway öğesini seçin.

  2. Sol taraftaki menüden HTTP ayarları'nı seçin. Uygulama ağ geçidini oluşturduğunuzda Azure otomatik olarak appGatewayBackendHttp Ayarlar varsayılan bir HTTP ayarı oluşturmuştur.

  3. appGatewayBackendHttp Ayarlar öğesini seçin.

  4. Protokol altında HTTPS'yi seçin. Arka uç kimlik doğrulama sertifikaları veya Güvenilen kök sertifikalar için bir bölme görüntülenir.

  5. Yeni oluştur’u seçin.

  6. Ad alanına uygun bir ad girin.

  7. CER sertifikasını karşıya yükle kutusunda sertifika dosyasını seçin.

    Standart ve WAF (v1) uygulama ağ geçitleri için arka uç sunucu sertifikanızın ortak anahtarını .cer biçiminde karşıya yüklemeniz gerekir.

    Add certificate

    Standard_v2 ve WAF_v2 uygulama ağ geçitleri için arka uç sunucu sertifikasının kök sertifikasını .cer biçiminde karşıya yüklemeniz gerekir. Arka uç sertifikası iyi bilinen bir sertifika yetkilisi (CA) tarafından verildiyse, İyi Bilinen CA Sertifikası Kullan onay kutusunu seçebilir ve ardından sertifikayı karşıya yüklemeniz gerekmez.

    Add trusted root certificate

    Root certificate

  8. Kaydet'i seçin.

Mevcut bir uygulama ağ geçidi için uçtan uca TLS'yi etkinleştirme

Mevcut bir uygulama ağ geçidini uçtan uca TLS şifrelemesi ile yapılandırmak için önce dinleyicide TLS sonlandırmayı etkinleştirmeniz gerekir. Bu eylem, istemci ile uygulama ağ geçidi arasındaki iletişim için TLS şifrelemesini etkinleştirir. Ardından, arka uç sunucuları için bu sertifikaları Kasa Alıcılar listesindeki HTTP ayarlarına yerleştirin. Bu yapılandırma, uygulama ağ geçidi ile arka uç sunucuları arasındaki iletişim için TLS şifrelemesini etkinleştirir. Bu, uçtan uca TLS şifrelemesini gerçekleştirir.

TLS sonlandırmayı etkinleştirmek için HTTPS protokolüne ve sertifikaya sahip bir dinleyici kullanmanız gerekir. Bu koşullara uyan mevcut bir dinleyiciyi kullanabilir veya yeni bir dinleyici oluşturabilirsiniz. Önceki seçeneği belirlerseniz, aşağıdaki "Mevcut bir uygulama ağ geçidinde TLS sonlandırmasını etkinleştir" bölümünü yoksayabilir ve doğrudan "Arka uç sunucuları için kimlik doğrulaması/güvenilen kök sertifikaları ekleme" bölümüne gidebilirsiniz.

İkinci seçeneği belirlerseniz aşağıdaki yordamdaki adımları uygulayın.

Mevcut bir uygulama ağ geçidinde TLS sonlandırmayı etkinleştirme

  1. Tüm kaynaklar'ı ve ardından myAppGateway öğesini seçin.

  2. Sol taraftaki menüden Dinleyiciler'i seçin.

  3. Gereksinimlerinize bağlı olarak Temel veya Çok siteli dinleyici'yi seçin.

  4. Protokol altında HTTPS'yi seçin. Sertifika bölmesi görüntülenir.

  5. İstemci ile uygulama ağ geçidi arasında TLS sonlandırması için kullanmayı planladığınız PFX sertifikasını karşıya yükleyin.

    Dekont

    Test amacıyla otomatik olarak imzalanan bir sertifika kullanabilirsiniz. Ancak bu, üretim iş yükleri için önerilmez, çünkü bunların yönetilmesi daha zordur ve tamamen güvenli değildir. Daha fazla bilgi için bkz . Otomatik olarak imzalanan sertifika oluşturma.

  6. Gereksinimlerinize bağlı olarak Dinleyici için diğer gerekli ayarları ekleyin.

  7. Kaydetmek için Tamam’ı seçin.

Arka uç sunucularının kimlik doğrulaması/güvenilen kök sertifikalarını ekleme

  1. Tüm kaynaklar'ı ve ardından myAppGateway öğesini seçin.

  2. Sol taraftaki menüden HTTP ayarları'nı seçin. Sertifikaları, Kasa Alıcılar listesinde var olan bir arka uç HTTP ayarına ekleyebilir veya yeni bir HTTP ayarı oluşturabilirsiniz. (Sonraki adımda, appGatewayBackendHttp Ayarlar varsayılan HTTP ayarının sertifikası Kasa Alıcılar listesine eklenir.)

  3. appGatewayBackendHttp Ayarlar öğesini seçin.

  4. Protokol altında HTTPS'yi seçin. Arka uç kimlik doğrulama sertifikaları veya Güvenilen kök sertifikalar için bir bölme görüntülenir.

  5. Yeni oluştur’u seçin.

  6. Ad alanına uygun bir ad girin.

  7. CER sertifikasını karşıya yükle kutusunda sertifika dosyasını seçin.

    Standart ve WAF (v1) uygulama ağ geçitleri için arka uç sunucu sertifikanızın ortak anahtarını .cer biçiminde karşıya yüklemeniz gerekir.

    Add certificate

    Standard_v2 ve WAF_v2 uygulama ağ geçitleri için arka uç sunucu sertifikasının kök sertifikasını .cer biçiminde karşıya yüklemeniz gerekir. Arka uç sertifikası iyi bilinen bir CA tarafından verildiyse, İyi Bilinen CA Sertifikası Kullan onay kutusunu seçebilir ve ardından sertifikayı karşıya yüklemeniz gerekmez.

    Add trusted root certificate

  8. Kaydet'i seçin.

Sonraki adımlar

Azure CLI kullanarak bir uygulama ağ geçidi ile web trafiğini yönetme