Delen via

Application Gateway-certificaten vernieuwen

  • Artikel

Op een bepaald moment moet u uw certificaten vernieuwen als u uw toepassingsgateway hebt geconfigureerd voor TLS/SSL-versleuteling.

Er zijn twee locaties waar certificaten kunnen bestaan: certificaten die zijn opgeslagen in Azure Key Vault of certificaten die zijn geüpload naar een toepassingsgateway.

Certificaten in Azure Key Vault

Wanneer Application Gateway is geconfigureerd voor het gebruik van Key Vault-certificaten, halen de exemplaren het certificaat op uit Key Vault en installeren ze lokaal voor TLS-beëindiging. De exemplaren peilen Key Vault met intervallen van vier uur om een vernieuwde versie van het certificaat op te halen als het bestaat. Als er een bijgewerkt certificaat wordt gevonden, wordt het TLS/SSL-certificaat dat momenteel is gekoppeld aan de HTTPS-listener automatisch geroteerd.

Tip

Elke wijziging in Application Gateway dwingt een controle af bij Key Vault om te zien of er nieuwe versies van certificaten beschikbaar zijn. Dit omvat, maar is niet beperkt tot wijzigingen in Front-end-IP-configuraties, listeners, regels, back-endpools, resourcetags en meer. Als er een bijgewerkt certificaat wordt gevonden, wordt het nieuwe certificaat onmiddellijk weergegeven.

Application Gateway gebruikt een geheime id in Key Vault om naar de certificaten te verwijzen. Voor Azure PowerShell, de Azure CLI of Azure Resource Manager raden we u ten zeerste aan een geheime id te gebruiken die geen versie opgeeft. Op deze manier draait Application Gateway het certificaat automatisch als er een nieuwere versie beschikbaar is in uw sleutelkluis. Een voorbeeld van een geheime URI zonder versie is https://myvault.vault.azure.net/secrets/mysecret/.

Certificaten op een toepassingsgateway

Application Gateway ondersteunt het uploaden van certificaten zonder azure Key Vault te hoeven configureren. Als u de geüploade certificaten wilt vernieuwen, gebruikt u de volgende stappen voor Azure Portal, Azure PowerShell of Azure CLI.

Azure Portal

Als u een listenercertificaat wilt vernieuwen vanuit de portal, gaat u naar de listeners van uw toepassingsgateway. Selecteer de listener met een certificaat dat moet worden vernieuwd en selecteer vervolgens Het geselecteerde certificaat vernieuwen of bewerken.

Certificaat verlengen

Upload uw nieuwe PFX-certificaat, geef het een naam, typ het wachtwoord en selecteer Opslaan.

Azure PowerShell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Gebruik het volgende script om uw certificaat te vernieuwen met behulp van Azure PowerShell:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure-CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Volgende stappen

Zie TLS-offload configureren voor meer informatie over het configureren van TLS-offloading met Azure-toepassing Gateway.