Vytváření certifikátů pro povolení back-endu ve službě Azure Application Gateway
Aby služba Application Gateway ukončila protokol TLS, vyžaduje, aby back-endové instance byly povolené nahráním ověřovacích nebo důvěryhodných kořenových certifikátů. Pro skladovou položku v1 jsou vyžadovány ověřovací certifikáty, ale pro důvěryhodné kořenové certifikáty skladové položky v2 jsou vyžadovány pro povolení certifikátů.
V tomto článku získáte informace o těchto tématech:
- Export ověřovacího certifikátu z back-endového certifikátu (pro skladovou položku v1)
- Export důvěryhodného kořenového certifikátu z back-endového certifikátu (pro skladovou položku v2)
Předpoklady
K vygenerování ověřovacích certifikátů nebo důvěryhodných kořenových certifikátů potřebných k povolení back-endových instancí se službou Application Gateway se vyžaduje existující back-endový certifikát. Back-endový certifikát může být stejný jako certifikát TLS/SSL nebo jiný pro přidání zabezpečení. Application Gateway neposkytuje žádný mechanismus pro vytvoření nebo nákup certifikátu TLS/SSL. Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem, ale neměli byste ho používat pro produkční úlohy.
Export ověřovacího certifikátu (pro skladovou položku v1)
K povolení back-endových instancí ve skladové posadě Application Gateway v1 se vyžaduje ověřovací certifikát. Ověřovací certifikát je veřejný klíč certifikátů back-endového serveru v X.509 s kódováním Base-64(. FORMÁT CER. V tomto příkladu použijete pro back-endový certifikát certifikát TLS/SSL a exportujete jeho veřejný klíč, který se použije jako ověřovací certifikace. V tomto příkladu také použijete nástroj Správce certifikátů systému Windows k exportu požadovaných certifikátů. Můžete zvolit použití libovolného jiného nástroje, který je pohodlný.
Z certifikátu TLS/SSL exportujte soubor .cer veřejného klíče (ne privátní klíč). Následující kroky vám pomůžou exportovat soubor .cer v X.509 s kódováním Base-64(. Formát CER pro váš certifikát:
Chcete-li získat soubor .cer z certifikátu, otevřete správu uživatelských certifikátů. Vyhledejte certifikát, obvykle v části Certifikáty – Aktuální uživatel\Osobní\Certifikáty a klikněte pravým tlačítkem myši. Klikněte na Všechny úlohy a potom klikněte na Exportovat. Otevře se Průvodce exportem certifikátu. Pokud chcete otevřít Správce certifikátů v aktuálním oboru uživatele pomocí PowerShellu, zadejte do okna konzoly nástroj certmgr .
Poznámka:
Pokud nemůžete najít certifikát v části Aktuální uživatel\Osobní\Certifikáty, pravděpodobně jste nechtěně otevřeli Certifikáty – místní počítač, ne Certifikáty – Aktuální uživatel.
V průvodci klikněte na Další.
Vyberte Ne, neexportovat privátní klíč a klikněte na Další.
Na stránce Formát souboru pro export vyberte X.509, kódování Base-64 (CER) a klikněte na Další.
Chcete-li soubor exportovat, přejděte do umístění, do kterého chcete certifikát exportovat. V části Název souboru zadejte název souboru. Pak klikněte na Další.
Certifikát vyexportujte kliknutím na Dokončit.
Certifikát se úspěšně exportuje.
Exportovaný certifikát vypadá nějak takto:
Pokud otevřete exportovaný certifikát pomocí Poznámkový blok, zobrazí se něco podobného jako v tomto příkladu. Oddíl v modrém formátu obsahuje informace, které se nahrají do aplikační brány. Pokud certifikát otevřete pomocí Poznámkový blok a nevypadá nějak takto, obvykle to znamená, že jste ho neexportovali pomocí X.509 s kódováním Base-64.509(. FORMÁT CER. Pokud chcete použít jiný textový editor, mějte na vědomí, že některé editory můžou na pozadí zavést nezamýšlené formátování. To může způsobit problémy při nahrání textu z tohoto certifikátu do Azure.
Export důvěryhodného kořenového certifikátu (pro skladovou položku v2)
Aby bylo možné povolit back-endové instance ve skladové posadě Application Gateway v2, je vyžadován důvěryhodný kořenový certifikát. Kořenový certifikát je X.509 s kódováním Base-64(. CER) naformátuje kořenový certifikát z certifikátů back-endového serveru. V tomto příkladu použijeme pro back-endový certifikát certifikát TLS/SSL, exportujeme jeho veřejný klíč a pak exportujeme kořenový certifikát důvěryhodné certifikační autority z veřejného klíče ve formátu base64 s kódováním Base64, abychom získali důvěryhodný kořenový certifikát. Zprostředkující certifikáty by se měly sbalit s certifikátem serveru a nainstalovat na back-endový server.
Následující kroky vám pomůžou exportovat soubor .cer pro certifikát:
K exportu veřejného klíče z back-endového certifikátu použijte kroky 1 až 8 uvedené v předchozí části Export ověřovacího certifikátu (pro skladovou položku v1).
Po exportu veřejného klíče otevřete soubor.
Přejděte do zobrazení Cesta certifikace a zobrazte certifikační autoritu.
Vyberte kořenový certifikát a klikněte na Zobrazit certifikát.
Měly by se zobrazit podrobnosti o kořenovém certifikátu.
Přejděte do zobrazení Podrobností a klikněte na Kopírovat do souboru...
V tuto chvíli jste extrahovali podrobnosti o kořenovém certifikátu z back-endového certifikátu. Zobrazí se Průvodce exportem certifikátu. Teď pomocí kroků 2 až 9 uvedených v části Export ověřovacího certifikátu z back-endového certifikátu (pro skladovou položku v1) výše exportujte důvěryhodný kořenový certifikát v X.509 s kódováním Base-64(. FORMÁT CER.
Další kroky
Teď máte ověřovací certifikát nebo důvěryhodný kořenový certifikát v kódování Base-64 X.509(. FORMÁT CER. Můžete ho přidat do aplikační brány, abyste back-endovým serverům umožnili koncové šifrování TLS. Viz Konfigurace koncového šifrování TLS pomocí služby Application Gateway s PowerShellem.