Esercizio: Configurare un listener del gateway applicazione per la crittografia

Completato

Dopo la configurazione dei certificati per il gateway applicazione di Azure e del pool back-end, è possibile creare un listener per gestire le richieste in ingresso. Il listener resta in attesa dei messaggi, li decrittografa usando la chiave privata e quindi li instrada al pool back-end.

In questa unità si configurerà il listener con la porta 443 e con il certificato SSL creato nel primo esercizio. L'immagine seguente evidenzia gli elementi che vengono configurati in questo esercizio.

Configurare il listener

1. Eseguire il comando seguente per creare una nuova porta front-end (443) per il gateway:

   az network application-gateway frontend-port create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-port \
     --port 8443
   

2. Caricare il certificato SSL per il gateway applicazione. Questo certificato è stato generato dallo script di configurazione nell'esercizio precedente. Il certificato è archiviato nel file appgateway.pfx nella cartella server-config.

   La password generata per il file PFX è somepassword. Non cambiarla nel comando seguente.

   az network application-gateway ssl-cert create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name appgateway-cert \
      --cert-file server-config/appgateway.pfx \
      --cert-password somepassword
   

3. Eseguire il comando seguente per creare un nuovo listener che accetti traffico in ingresso sulla porta 443. Il listener usa il certificato appgateway-cert per decrittografare i messaggi.

   az network application-gateway http-listener create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-listener \
     --frontend-port https-port \
     --ssl-cert appgateway-cert
   

4. Eseguire il comando seguente per creare una regola che indirizza il traffico ricevuto attraverso il nuovo listener al pool back-end. L'esecuzione del comando può richiedere un minuto o due.

   az network application-gateway rule create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name https-rule \
       --address-pool ap-backend \
       --http-listener https-listener \
       --http-settings https-settings \
       --rule-type Basic \
       --priority 102
   

Testare il gateway applicazione

1. Recuperare l'URL pubblico del gateway applicazione.

   echo https://$(az network public-ip show \
     --resource-group $rgName \
     --name appgwipaddr \
     --query ipAddress \
     --output tsv)
   

2. Passare all'URL in un Web browser.

   Come in precedenza, il browser può visualizzare un messaggio di avviso che informa che la connessione SSL usa un certificato non autenticato. Questo avviso compare perché il certificato è autofirmato. È possibile ignorare l'avviso e passare al sito Web.

3. Verificare che venga visualizzata la home page del portale di spedizione.

È stato configurato il listener in modo che sia in ascolto sulla porta 443 ed esegua la decrittografia dei dati pronti per essere passati al pool back-end. I dati vengono crittografati nuovamente durante la trasmissione dal gateway a un server nel pool back-end. Con il listener configurato, è stata impostata la crittografia end-to-end per il portale di spedizione.

Se necessario, è possibile eliminare queste risorse. Il modo più semplice per eliminare tutte le risorse create in questo modulo consiste nell'eliminare semplicemente il gruppo di risorse.