Oefening: een Application Gateway-listener configureren voor versleuteling

Voltooid

Nu u de certificaten voor Azure Application Gateway en de back-endpool hebt geconfigureerd, kunt u een listener maken om binnenkomende aanvragen te verwerken. De listener wacht op berichten, ontsleutelt ze met behulp van de persoonlijke sleutel en stuurt deze berichten vervolgens naar de back-endpool.

In deze les stelt u de listener in met poort 443 en met het SSL-certificaat dat u in de eerste oefening hebt gemaakt. In de volgende afbeelding ziet u de elementen die u in deze oefening hebt ingesteld.

De listener configureren

1. Voer de volgende opdracht uit om een nieuwe front-endpoort (443) voor de gateway te maken:

   az network application-gateway frontend-port create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-port \
     --port 8443
   

2. Upload het SSL-certificaat voor Application Gateway. Het installatiescript heeft dit certificaat in de vorige oefening gegenereerd. Het certificaat wordt opgeslagen in het bestand appgateway.pfx in de map serverconfiguratie.

   Het wachtwoord dat is gegenereerd voor het PFX-bestand, wordt somepassword. Wijzig deze niet in de volgende opdracht.

   az network application-gateway ssl-cert create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name appgateway-cert \
      --cert-file server-config/appgateway.pfx \
      --cert-password somepassword
   

3. Voer de volgende opdracht uit om een nieuwe listener te maken die binnenkomend verkeer accepteert op poort 443. De listener gebruikt het certificaat appgateway-cert om berichten te ontsleutelen.

   az network application-gateway http-listener create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-listener \
     --frontend-port https-port \
     --ssl-cert appgateway-cert
   

4. Voer de volgende opdracht uit om een regel te maken waarmee verkeer dat wordt ontvangen via de nieuwe listener naar de back-endpool wordt geleid. Het kan een paar minuten duren voordat deze opdracht is voltooid.

   az network application-gateway rule create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name https-rule \
       --address-pool ap-backend \
       --http-listener https-listener \
       --http-settings https-settings \
       --rule-type Basic \
       --priority 102
   

De toepassingsgateway testen

1. Haal de openbare URL van de toepassingsgateway op.

   echo https://$(az network public-ip show \
     --resource-group $rgName \
     --name appgwipaddr \
     --query ipAddress \
     --output tsv)
   

2. Ga naar de URL in een webbrowser.

   Net als voorheen geeft uw browser mogelijk een waarschuwingsbericht weer met de mededeling dat de SSL-verbinding gebruikmaakt van een niet-geverifieerd certificaat. Deze waarschuwing wordt weergegeven omdat het certificaat zelfondertekend is. U kunt deze waarschuwing negeren en doorgaan naar de website.

3. Controleer of de startpagina voor de verzendportal wordt weergegeven.

U hebt de listener geconfigureerd om te luisteren op poort 443 en de gegevens te ontsleutelen die klaar zijn om door te geven aan de back-endpool. De gegevens worden opnieuw versleuteld wanneer deze worden verzonden van de gateway naar een server in de back-endpool. Nu deze listener is ingesteld, hebt u end-to-end-versleuteling ingesteld voor de verzendportal.

U kunt deze resources indien nodig verwijderen. De eenvoudigste manier om alle resources die u in deze module hebt gemaakt, te verwijderen, is door de resourcegroep te verwijderen.