Configuración de grupos de back-end para el cifrado

Completado

El grupo de back-end contiene los servidores que implementan la aplicación. Azure Application Gateway redirige las solicitudes a estos servidores y puede equilibrar la carga del tráfico en ellos.

En el portal de envíos, los servidores de aplicaciones en el grupo de back-end deben usar SSL para cifrar los datos que pasan entre Application Gateway y los servidores en el grupo de back-end. Application Gateway usa un certificado SSL con una clave pública para cifrar los datos. Los servidores usan la clave privada correspondiente para descifrar los datos a medida que se reciben. En esta unidad, verá cómo crear el grupo de back-end e instalar los certificados necesarios en Application Gateway. Estos certificados ayudan a proteger los mensajes enviados hacia y desde el grupo de back-end.

Cifrado desde Application Gateway hacia el grupo de back-end

Un grupo de back-end puede hacer referencia a máquinas virtuales individuales, a un conjunto de escalado de máquinas virtuales, a las direcciones IP de los equipos reales (locales o ejecutados de forma remota) o a los servicios hospedados a través de Azure App Service. Todos los servidores en el grupo de back-end deben configurarse de la misma manera, incluida su configuración de seguridad.

Si el tráfico dirigido al grupo de back-end está protegido mediante SSL, cada servidor en el grupo de back-end debe proporcionar un certificado adecuado. Para propósitos de prueba, puede crear un certificado autofirmado. En un entorno de producción, siempre debe generar o adquirir un certificado que pueda autenticar una entidad de certificación (CA).

Actualmente hay dos versiones de Application Gateway: v1 y v2. Tienen capacidades parecidas, pero difieren ligeramente en los detalles de implementación. La versión v2 proporciona más características y mejoras de rendimiento.

Configuración del certificado en Application Gateway v1

Application Gateway v1 requiere que instale el certificado de autenticación para los servidores en la configuración de la puerta de enlace. Este certificado contiene la clave pública que Application Gateway usa para cifrar los mensajes y autenticar los servidores. Puede crear este certificado exportándolo desde el servidor. El servidor de aplicaciones usa la clave privada correspondiente para descifrar estos mensajes. Esta clave privada solo se debe almacenar en los servidores de aplicaciones.

Puede agregar un certificado de autenticación a Application Gateway mediante el comando az network application-gateway auth-cert create desde la CLI de Azure. En el siguiente ejemplo se muestra la sintaxis de este comando. El certificado debe estar en formato CER (notificación, evidencia y razonamiento).

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway proporciona otros comandos que puede usar para enumerar y administrar certificados de autenticación. Por ejemplo:

• Con el comando az network application-gateway auth-cert list se muestran los certificados que se han instalado.
• El comando az network application-gateway auth-cert update puede utilizarse para cambiar el certificado.
• Con el comando az network application-gateway auth-cert delete se elimina un certificado.

Configuración del certificado en Application Gateway v2

Application Gateway v2 tiene requisitos de autenticación ligeramente diferentes. Se proporciona el certificado para la entidad de certificación que ha autenticado el certificado SSL para los servidores en el grupo de back-end. Se agrega este certificado como certificado raíz de confianza a Application Gateway. Use el comando az network application-gateway root-cert create desde la CLI de Azure.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Si los servidores usan un certificado autofirmado, agregue este certificado como el certificado raíz de confianza en Application Gateway.

Configuración de HTTP

Application Gateway usa una regla para especificar cómo dirigir los mensajes que recibe en su puerto de entrada a los servidores del grupo de back-end. Si los servidores utilizan SSL, debe configurar la regla para que indique lo siguiente:

• Los servidores esperan recibir el tráfico mediante el protocolo HTTPS.
• Qué certificado debe usarse para cifrar el tráfico y autenticar la conexión a un servidor.

Esta información de configuración se define mediante una configuración HTTP.

Puede definir una configuración HTTP mediante el comando az network application-gateway http-settings create en la CLI de Azure. En el ejemplo siguiente se muestra la sintaxis para crear una configuración que redirige el tráfico mediante el protocolo HTTPS al puerto 443 en los servidores en el grupo de back-end. Si usa Application Gateway v1, el parámetro --auth-certs es el nombre del certificado de autenticación que agregó previamente a Application Gateway.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Si usa Application Gateway v2, omita el parámetro --auth-certs. Application Gateway se conecta al servidor de back-end. Comprueba la autenticidad del certificado presentado por el servidor frente a las entidades de certificación especificadas por una lista de certificados raíz de confianza. Si no hay ninguna coincidencia, Application Gateway no se conectará al servidor de back-end y se producirá un error HTTP 502 (puerta de enlace incorrecta).