Key Vault sertifikaları ile TLS sonlandırma

Azure Key Vault , gizli dizileri, anahtarları ve TLS/SSL sertifikalarını korumak için kullanabileceğiniz, platform tarafından yönetilen bir gizli depodır. Azure Application Gateway, HTTPS özellikli dinleyicilerine eklenen sunucu sertifikaları için Key Vault tümleştirmeyi destekler. Bu destek, Application Gateway v2 SKU 'SU ile sınırlıdır.

Application Gateway TLS sonlandırma için iki model sunar:

• Dinleyiciye iliştirilmiş TLS/SSL sertifikaları sağlayın. Bu model, TLS/SSL sertifikalarını TLS sonlandırma için Application Gateway geçirmek için geleneksel bir yoldur.
• HTTPS etkin bir dinleyici oluştururken Mevcut bir Key Vault sertifikasına veya parolaya bir başvuru sağlayın.

Key Vault ile tümleştirme Application Gateway aşağıdakiler de dahil olmak üzere birçok avantaj sunar:

• Daha güçlü güvenlik, TLS/SSL sertifikaları uygulama geliştirme ekibi tarafından doğrudan işlenmemektedir. Tümleştirme, ayrı bir güvenlik ekibinin şunları yapmasına izin verir:
  • Uygulama ağ geçitlerini ayarlayın.
  • Uygulama ağ geçidi ömürleri kontrol edin.
  • Anahtar Kasanızda depolanan sertifikalara erişmek için seçili uygulama ağ geçitlerine izin verin.
• Mevcut sertifikaları anahtar kasanıza aktarma desteği. Ya da güvenilir Key Vault iş ortaklarıyla yeni sertifikalar oluşturup yönetmek için Key Vault API 'Leri kullanın.
• Anahtar Kasanızda depolanan sertifikaların otomatik yenilenmesi için destek.

Desteklenen sertifikalar

Application Gateway Şu anda yalnızca yazılım tarafından doğrulanan sertifikaları desteklemektedir. Donanım güvenlik modülü (HSM)-doğrulanan sertifikalar desteklenmez.

Application Gateway Key Vault sertifikaları kullanacak şekilde yapılandırıldıktan sonra, örnekleri sertifikayı Key Vault alır ve TLS sonlandırma için yerel olarak yükler. Örnekler, sertifika varsa, sertifikanın yenilenen bir sürümünü almak için dört saat aralıklarında yoklama Key Vault. Güncelleştirilmiş bir sertifika bulunursa, şu anda HTTPS dinleyicisi ile ilişkili olan TLS/SSL sertifikası otomatik olarak döndürülür.

Application Gateway, sertifikalara başvurmak için Key Vault bir gizli tanımlayıcı kullanır. Azure PowerShell, Azure clı veya Azure Resource Manager için sürüm belirtmeyen bir gizli dizi tanımlayıcısı kullanmanızı önemle tavsiye ederiz. Bu şekilde, Anahtar Kasanızda daha yeni bir sürüm varsa Application Gateway sertifikayı otomatik olarak döndürür. Sürüm olmayan gizli bir URI örneği https://myvault.vault.azure.net/secrets/mysecret/ .

Azure portal, gizli dizileri değil yalnızca Key Vault sertifikalarını destekler. Application Gateway yine de Key Vault, ancak PowerShell, Azure CLı, API 'Ler ve Azure Resource Manager şablonları (ARM şablonları) gibi Portal dışı kaynaklar aracılığıyla gizli dizileri destekler.

Key Vault sertifika ayarları

TLS sonlandırması için Application Gateway yalnızca kişisel bilgi Exchange (PFX) biçimindeki sertifikaları destekler. Mevcut bir sertifikayı içeri aktarabilir ya da Anahtar Kasanızda yeni bir tane oluşturabilirsiniz. Herhangi bir hatadan kaçınmak için, sertifikanın durumunun Key Vault etkin olarak ayarlandığından emin olun.

Tümleştirme nasıl çalışacaktır?

Key Vault ile tümleştirme Application Gateway üç adımlı bir yapılandırma işlemidir:

Kullanıcı tarafından atanan yönetilen kimlik oluşturma

Kullanıcı tarafından atanan bir yönetilen kimlik oluşturun veya var olan bir kimliği yeniden kullanın. Application Gateway, Key Vault sertifikaları sizin adınıza almak için yönetilen kimliği kullanır. Daha fazla bilgi için, bkz. Azure Portal kullanarak Kullanıcı tarafından atanan yönetilen kimlik için rol oluşturma, listeleme, silme veya atama.

bu adım Azure Active Directory kiracısında yeni bir kimlik oluşturur. Kimlik, kimlik oluşturmak için kullanılan abonelik tarafından güvenilirdir.

Anahtar kasanızı yapılandırma

Anahtar kasanıza Kullanıcı tarafından atanan yönetilen kimliği kullanmak için erişim ilkeleri tanımlayın:

1. Azure portal Key Vault gidin.

2. Erişim ilkeleri bölmesini açın.

3. İzin modeli Kasası erişim ilkesini kullanıyorsanız: + erişim ilkesi Ekle' yi seçin, gizli izinler Için Al ' ı seçin ve Select Principal için Kullanıcı tarafından atanan yönetilen kimliğinizi seçin. Sonra Kaydet'i seçin.

   İzin modeli Azure rol tabanlı erişim denetimi kullanıyorsanız: Kullanıcı tarafından atanan yönetilen kimlik için, rol Key Vault gizli dizi kullanıcısı için Azure Anahtar Kasası 'na bir rol ataması ekleyin.

15 Mart 2021 itibariyle Key Vault, Azure Key Vault kimlik doğrulaması için Kullanıcı tarafından yönetilen kimlikleri kullanarak Application Gateway güvenilir bir hizmet olarak tanır. Hizmet uç noktalarının kullanımı ve anahtar kasasının güvenlik duvarı için güvenilir hizmetler seçeneğinin etkinleştirilmesi sayesinde Azure 'da güvenli bir ağ sınırı oluşturabilirsiniz. Tüm ağlardan gelen trafiğe erişimi reddedebilirsiniz (Internet trafiği dahil) Key Vault, ancak yine de aboneliğiniz altındaki bir Application Gateway kaynağı için Key Vault erişilebilir hale getirebilirsiniz.

Kısıtlı bir Anahtar Kasası kullanırken, güvenlik duvarlarını ve sanal ağları kullanmak üzere Application Gateway yapılandırmak için aşağıdaki adımları kullanın:

1. Azure portal, Anahtar Kasanızda ağ' ı seçin.
2. Güvenlik duvarları ve sanal ağlar sekmesinde, Özel uç nokta ve seçili ağlar' ı seçin.
3. Sanal ağlar için + var olan sanal ağları Ekle' yi seçin ve ardından Application Gateway örneğiniz için sanal ağı ve alt ağı ekleyin. İşlem sırasında, Microsoft.KeyVault hizmet uç noktasını da onay kutusunu seçerek yapılandırın.
4. Güvenilen hizmetlerin anahtar kasasının güvenlik duvarını atlamasına izin vermek için Evet ' i seçin.

Azure CLı veya PowerShell kullanarak veya Azure portal dağıtılan bir Azure uygulaması aracılığıyla Application Gateway örneğini bir ARM şablonuyla dağıtırsanız, SSL sertifikası anahtar kasasında Base64 kodlamalı PFX dosyası olarak depolanır. Dağıtım sırasında güvenli parametre değeri geçirmek için Azure Key Vault kullanmaadımlarını gerçekleştirmeniz gerekir.

Olarak ayarlanması özellikle önemlidir enabledForTemplateDeployment true . Sertifika bir parolaya sahip olabilir veya olmayabilir. Parolası olan bir sertifika söz konusu olduğunda, aşağıdaki örnek, sslCertificates properties Application Gateway ARM şablon yapılandırması için içindeki girişi için olası bir yapılandırmayı gösterir.

"sslCertificates": [
    {
        "name": "appGwSslCertificate",
        "properties": {
            "data": "[parameters('appGatewaySSLCertificateData')]",
            "password": "[parameters('appGatewaySSLCertificatePassword')]"
        }
    }
]

appGatewaySSLCertificateDataVe değerleri appGatewaySSLCertificatePassword , dinamik kimliğe ilişkin başvuru gizlidizileri bölümünde açıklandığı gibi anahtar kasasından aranır. Aramanın nasıl gerçekleştiğini görmek için, öğesinden geriye doğru başvuruları izleyin parameters('secretName') . Sertifika passwordless ise password girişi atlayın.

Application Gateway Yapılandır

Kullanıcı tarafından atanan bir yönetilen kimlik oluşturup anahtar kasanızı yapılandırdıktan sonra, kimlik ve erişim yönetimi (ıAM) aracılığıyla Application Gateway örneğiniz için yönetilen kimliği atayabilirsiniz. PowerShell için bkz. set-Azapplicationgatewayıdentity.

Key Vault hatalarını araştırma ve çözme

Azure Application Gateway, her dört saat aralığında Key Vault üzerinde yenilenen sertifika sürümünü yalnızca yoklamaz. Ayrıca, herhangi bir hatayı günlüğe kaydeder ve bir öneri olarak yanlış yapılandırma yapmak için Azure Advisor ile tümleşiktir. Öneri, sorun ve ilişkili Key Vault kaynağıyla ilgili ayrıntıları içerir. Bu bilgileri, bu tür bir yapılandırma hatasını hızlı bir şekilde çözmek için sorun giderme kılavuzuyla birlikte kullanabilirsiniz.

Bir sorun algılandığında, Advisor uyarılarını güncel kalmak için yapılandırmanızı önemle öneririz. Bu özel durum için bir uyarı ayarlamak için, öneri türü olarak Application Gateway Azure Key Vault sorunu çöz ' ü kullanın.

Sonraki adımlar

Azure PowerShell kullanarak TLS sonlandırmasını Key Vault sertifikalarla yapılandırma