Øvelse – Konfigurer en programgatewaylyttefunktion til kryptering

  • 10 minutter

Nu, hvor du har konfigureret certifikaterne for Azure Application Gateway og backendgruppen, kan du oprette en lyttefunktion til håndtering af indgående anmodninger. Lytteren venter på meddelelser, dekrypterer dem ved hjælp af den private nøgle og dirigerer derefter disse meddelelser til backend-gruppen.

I dette undermodul skal du konfigurere lyttefunktionen med port 443 og med det SSL-certifikat, du oprettede i den første øvelse. På følgende billede fremhæves de elementer, du har konfigureret i denne øvelse.

diagram, der fremhæver de elementer (frontendport, SSL-certifikat til Application Gateway, lyttefunktion og regel), der er oprettet i denne øvelse.

Konfigurer lyttefunktionen

  1. Kør følgende kommando for at oprette en ny frontendport (443) for gatewayen:

    az network application-gateway frontend-port create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-port \
  --port 8443

  2. Upload SSL-certifikatet til Application Gateway. Installationsscriptet oprettede dette certifikat i den forrige øvelse. Certifikatet gemmes i filen appgateway.pfx i mappen serverkonfiguration.

    Den adgangskode, der genereres for .pfx-filen, er somepassword. Du skal ikke ændre den i følgende kommando.

    az network application-gateway ssl-cert create \
   --resource-group $rgName \
   --gateway-name gw-shipping \
   --name appgateway-cert \
   --cert-file server-config/appgateway.pfx \
   --cert-password somepassword

  3. Kør følgende kommando for at oprette en ny lytter, der accepterer indgående trafik på port 443. Lyttefunktionen bruger certifikatet appgateway-cert til at dekryptere meddelelser.

    az network application-gateway http-listener create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-listener \
  --frontend-port https-port \
  --ssl-cert appgateway-cert

  4. Kør følgende kommando for at oprette en regel, der dirigerer trafik, der modtages via den nye lytter, til backendgruppen. Denne kommando kan tage et minut eller to at afslutte.

    az network application-gateway rule create \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-rule \
    --address-pool ap-backend \
    --http-listener https-listener \
    --http-settings https-settings \
    --rule-type Basic \
    --priority 102

Test programgatewayen

  1. Hent den offentlige URL-adresse til programgatewayen.

    echo https://$(az network public-ip show \
  --resource-group $rgName \
  --name appgwipaddr \
  --query ipAddress \
  --output tsv)

  2. Gå til URL-adressen i en webbrowser.

    Som før vises der muligvis en advarsel i browseren, hvor der står, at SSL-forbindelsen bruger et ikke-godkendt certifikat. Denne advarsel vises, fordi certifikatet er selvsigneret. Du kan ignorere denne advarsel og fortsætte til webstedet.

  3. Kontrollér, at startsiden for forsendelsesportalen vises.

Du har konfigureret lytteren til at lytte på port 443 og dekryptere de data, der er klar til at blive overført til backendgruppen. Dataene krypteres igen, når de sendes fra gatewayen til en server i backendgruppen. Når denne lytter er på plads, har du konfigureret end-to-end-kryptering for forsendelsesportalen.

Du kan slette disse ressourcer, hvis det er nødvendigt. Den nemmeste måde at slette alle de ressourcer, du har oprettet i dette modul, er ved blot at slette ressourcegruppen.