Konfigurer back end-grupper til kryptering

Fuldført

Backendgruppen indeholder de servere, der implementerer programmet. Azure Application Gateway dirigerer anmodninger til disse servere og kan justere trafikken på tværs af disse servere.

På forsendelsesportalen skal programserverne i backendgruppen bruge SSL til at kryptere de data, der overføres mellem Application Gateway og serverne i backendgruppen. Application Gateway bruger et SSL-certifikat med en offentlig nøgle til at kryptere dataene. Serverne bruger den tilsvarende private nøgle til at dekryptere dataene, efterhånden som de modtages. I dette undermodul kan du se, hvordan du opretter backendgruppen og installerer de nødvendige certifikater i Application Gateway. Disse certifikater hjælper med at beskytte de meddelelser, der sendes til og fra backendgruppen.

Kryptering fra Application Gateway til backend-gruppen

En backendgruppe kan referere til individuelle virtuelle maskiner, et skaleringssæt for en virtuel maskine, IP-adresserne på rigtige computere (enten i det lokale miljø eller fjernkørsel) eller tjenester, der hostes via Azure App Service. Alle serverne i backendgruppen skal konfigureres på samme måde, herunder deres sikkerhedsindstillinger.

Hvis den trafik, der dirigeres til backendgruppen, er beskyttet via SSL, skal hver server i backendgruppen angive et passende certifikat. Til testformål kan du oprette et selvsigneret certifikat. I et produktionsmiljø skal du altid generere eller købe et certifikat, som et nøglecenter kan godkende.

Der er i øjeblikket to versioner af Application Gateway: v1 og v2. De har lignende funktioner, men har lidt forskellige implementeringsoplysninger. V2-versionen indeholder flere funktioner og forbedringer af ydeevnen.

Certifikatkonfiguration i Application Gateway v1

Application Gateway v1 kræver, at du installerer godkendelsescertifikatet for serverne i gatewaykonfigurationen. Dette certifikat indeholder den offentlige nøgle, som Application Gateway bruger til at kryptere meddelelser og godkende dine servere. Du kan oprette dette certifikat ved at eksportere det fra serveren. Programserveren bruger den tilsvarende private nøgle til dekryptering af disse meddelelser. Denne private nøgle skal kun gemmes på dine programservere.

Du kan føje et godkendelsescertifikat til Application Gateway ved hjælp af kommandoen az network application-gateway auth-cert create fra kommandolinjegrænsefladen i Azure. I følgende eksempel illustreres syntaksen for denne kommando. Certifikatet skal være i CER-format (krav, bevis og ræsonnering).

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway indeholder andre kommandoer, du kan bruge til at vise og administrere godkendelsescertifikater. For eksempel:

• Kommandoen az network application-gateway auth-cert list viser de certifikater, der er installeret.
• Du kan bruge kommandoen az network application-gateway auth-cert update til at ændre certifikatet.
• Kommandoen az network application-gateway auth-cert delete fjerner et certifikat.

Certifikatkonfiguration i Application Gateway v2

Application Gateway v2 har lidt forskellige godkendelseskrav. Du angiver certifikatet for det nøglecenter, der har godkendt SSL-certifikatet for serverne i backendgruppen. Du føjer dette certifikat som et rodcertifikat, der er tillid til, til Application Gateway. Brug kommandoen az network application-gateway root-cert create fra Kommandolinjegrænsefladen i Azure.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Hvis dine servere bruger et selvsigneret certifikat, skal du tilføje dette certifikat som det rodcertifikat, der er tillid til, i Application Gateway.

HTTP-indstillinger

Application Gateway bruger en regel til at angive, hvordan de meddelelser, den modtager på den indgående port, dirigeres til serverne i backendgruppen. Hvis serverne bruger SSL, skal du konfigurere reglen til at angive:

• Serverne forventer trafik via HTTPS-protokollen.
• Hvilket certifikat der skal bruges til at kryptere trafik og godkende forbindelsen til en server.

Du definerer disse konfigurationsoplysninger ved hjælp af en HTTP-indstilling for .

Du kan definere en HTTP-indstilling ved hjælp af kommandoen az network application-gateway http-settings create i Kommandolinjegrænsefladen i Azure. I følgende eksempel vises syntaksen for oprettelse af en indstilling, der dirigerer trafik ved hjælp af HTTPS-protokollen til port 443 på serverne i backendgruppen. Hvis du bruger Application Gateway v1, er parameteren --auth-certs navnet på det godkendelsescertifikat, du tidligere har føjet til Application Gateway.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Hvis du bruger Application Gateway v2, skal du udelade parameteren --auth-certs. Application Gateway kontakter backendserveren. Den kontrollerer ægtheden af det certifikat, der præsenteres af serveren, i forhold til de nøglecentre, der er angivet i en liste over rodcertifikater, der er tillid til. Hvis der ikke er noget match, opretter programgatewayen ikke forbindelse til backendserveren og mislykkes med en HTTP 502-fejl (forkert gateway).