Konfigurace posluchače služby Application Gateway pro účely šifrování

Dokončeno

Nakonfigurovali jste ssl pro připojení mezi Azure Application Gateway a servery v back-endovém fondu. Pro expediční portál potřebujete úplné kompletní šifrování. K tomuto šifrování budete také muset zašifrovat zprávy, které klient odesílá do služby Application Gateway.

Vytvoření front-endového portu

Application Gateway přijímá požadavky prostřednictvím jednoho nebo více portů. Pokud komunikujete s bránou přes PROTOKOL HTTPS, měli byste nakonfigurovat port SSL. Https tradičně používá port 443. K vytvoření nového front-endového portu použijte příkaz az network application-gateway frontend-port create. Následující příklad ukazuje, jak vytvořit front-endový port pro port 443:

az network application-gateway frontend-port create \
    --resource-group $rgName \
    --gateway-name gw-shipping  \
    --name my-https-port \
    --port 443

Konfigurace naslouchacího programu

Posluchač čeká na příchozí datový provoz do brány na zadaném vstupním portu. Tento provoz se pak směruje na server v backendovém fondu. Pokud front-endový port používá PROTOKOL SSL, musíte označit certifikát, který se má použít k dešifrování příchozích zpráv. Certifikát obsahuje privátní klíč.

Certifikát můžete přidat pomocí příkazu az network application-gateway ssl-cert create. Soubor certifikátu by měl být ve formátu PFX. Protože tento soubor obsahuje privátní klíč, bude pravděpodobně chráněn také heslem. Do argumentu cert-password zadáte heslo, jak je znázorněno v následujícím příkladu.

az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name shipping-ssl.crt \
   --cert-file shippingportal/server-config/shipping-ssl.pfx \
   --cert-password <password for certificate file>

Potom můžete vytvořit naslouchací proces, který přijímá požadavky z front-endového portu a dešifruje je pomocí tohoto certifikátu. Použijte příkaz az network application-gateway http-listener create.

az network application-gateway http-listener create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name http-listener \
    --frontend-port my-https-port \
    --ssl-cert shipping-ssl.crt

Definování pravidla pro odesílání požadavků HTTPS na servery

Posledním krokem je vytvoření pravidla, které směruje zprávy přijaté prostřednictvím naslouchacího procesu na servery v back-endovém fondu. Zprávy přijaté z front-endového portu se dešifrují prostřednictvím certifikátu SSL určeného pro naslouchací proces. Tyto zprávy je potřeba znovu zašifrovat pomocí certifikátu na straně klienta pro servery v back-endovém fondu. Tyto informace definujete v pravidle.

Následující příklad ukazuje, jak pomocí příkazu az network application-gateway rule create vytvořit pravidlo, které připojí posluchač k backendovému fondu. Parametr --http-settings určuje nastavení HTTP, která odkazují na certifikát na straně klienta pro servery. Tato nastavení jste vytvořili v předchozí lekci.

az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name app-gw-rule \
    --address-pool ap-backend \
    --http-listener http-listener \
    --http-settings https-settings \
    --rule-type Basic
    --priority 101

Teď byste měli mít kompletní šifrování pro zprávy směrované přes Application Gateway. Klienti používají certifikát SSL pro službu Application Gateway k odesílání zpráv. Application Gateway tyto zprávy dešifruje pomocí tohoto certifikátu SSL. Potom zprávy znovu zašifruje pomocí certifikátu pro servery v back-endovém fondu.