Konfigurace naslouchacího procesu aplikační brány pro šifrování
Nakonfigurovali jste protokol SSL pro připojení mezi bránou Aplikace Azure a servery v back-endovém fondu. Pro expediční portál potřebujete úplné komplexní šifrování. K tomuto šifrování budete také muset zašifrovat zprávy, které klient odesílá do služby Application Gateway.
Vytvoření front-endového portu
Application Gateway přijímá požadavky prostřednictvím jednoho nebo několika portů. Pokud s bránou komunikujete přes HTTPS, měli byste nakonfigurovat port SSL. HTTPS tradičně používá port 443. Pomocí příkazu az network application-gateway frontend-port create vytvořte nový front-endový port. Následující příklad znázorňuje, jak vytvořit front-endový port pro port 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Konfigurace naslouchacího procesu
Naslouchací proces čeká na příchozí provoz do brány na určeném front-endovém portu. Tento provoz se pak směruje na server v back-endovém fondu. Pokud front-endový port používá SSL, je nutné určit certifikát, který se má používat k dešifrování příchozích zpráv. Certifikát zahrnuje privátní klíč.
K přidání tohoto certifikátu můžete použít příkaz az network application-gateway ssl-cert create. Soubor certifikátu by měl být ve formátu PFX. Tento soubor obsahuje privátní klíč, a proto bude pravděpodobně chráněn také heslem. Heslo zadáte do argumentu cert-password, jak je znázorněno v následujícím příkladu.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Potom můžete vytvořit naslouchací proces, který přijímá požadavky z front-endového portu a dešifruje je pomocí tohoto certifikátu. Použijte příkaz az network application-gateway http-listener create.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Definice pravidla pro odesílání požadavků HTTPS na servery
Posledním krokem je vytvoření pravidla, které směruje zprávy přijaté prostřednictvím naslouchacího procesu na servery v back-endovém fondu. Zprávy přijaté z front-endového portu se dešifrují prostřednictvím certifikátu SSL, který je pro naslouchací proces určený. Tyto zprávy musíte pomocí certifikátu na straně klienta znovu zašifrovat pro servery v back-endovém fondu. Tyto informace se definují v tomto pravidle.
Následující příklad ukazuje, jak pomocí příkazu az network application-gateway rule create vytvořit pravidlo, které připojí naslouchací proces k back-endovému fondu. Parametr --http-settings určuje nastavení HTTP, která odkazují na certifikát na straně klienta pro servery. Tato nastavení jste vytvořili v předchozí lekci.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Teď byste měli mít úplné komplexní šifrování pro zprávy směrované přes Application Gateway. Klienti používají k odesílání zpráv certifikát SSL pro Application Gateway. Application Gateway tyto zprávy dešifruje pomocí tohoto certifikátu SSL. Potom zprávy znovu zašifruje pomocí certifikátu pro servery v back-endovém fondu.