Konfigurowanie wzajemnego uwierzytelniania za pomocą usługi Application Gateway za pośrednictwem portalu

W tym artykule opisano sposób konfigurowania wzajemnego uwierzytelniania w usłudze Application Gateway przy użyciu witryny Azure Portal. Wzajemne uwierzytelnianie oznacza, że usługa Application Gateway uwierzytelnia klienta wysyłającego żądanie przy użyciu certyfikatu klienta przekazanego do usługi Application Gateway.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Zanim rozpoczniesz

Aby skonfigurować wzajemne uwierzytelnianie za pomocą usługi Application Gateway, należy przekazać certyfikat klienta do bramy. Certyfikat klienta zostanie użyty do zweryfikowania certyfikatu, który klient będzie prezentował w usłudze Application Gateway. Do celów testowych można użyć certyfikatu z podpisem własnym. Nie jest to jednak zalecane w przypadku obciążeń produkcyjnych, ponieważ są one trudniejsze do zarządzania i nie są całkowicie bezpieczne.

Aby dowiedzieć się więcej, szczególnie na temat rodzaju certyfikatów klienta, które można przekazać, zobacz Omówienie wzajemnego uwierzytelniania za pomocą usługi Application Gateway.

Tworzenie nowej usługi Application Gateway

Najpierw utwórz nową usługę Application Gateway, tak jak zwykle za pośrednictwem portalu — tworzenie nie wymaga dodatkowych kroków w celu umożliwienia wzajemnego uwierzytelniania. Aby uzyskać więcej informacji na temat tworzenia usługi Application Gateway w portalu, zapoznaj się z naszym samouczkiem Szybki start dotyczącym portalu.

Konfigurowanie wzajemnego uwierzytelniania

Aby skonfigurować istniejącą usługę Application Gateway z uwierzytelnianiem wzajemnym, musisz najpierw przejść do karty Ustawienia protokołu SSL w portalu i utworzyć nowy profil SSL. Podczas tworzenia profilu SSL zobaczysz dwie karty: Uwierzytelnianie klienta i zasady SSL. Karta Uwierzytelnianie klienta umożliwia przekazanie certyfikatów klienta. Karta Zasady protokołu SSL służy do konfigurowania zasad protokołu SSL dla odbiornika — aby uzyskać więcej informacji, zobacz Konfigurowanie zasad protokołu SSL specyficznych dla odbiornika.

Ważne

Upewnij się, że cały łańcuch certyfikatów urzędu certyfikacji klienta jest przekazywany w jednym pliku i tylko jeden łańcuch na plik.

1. Wyszukaj usługę Application Gateway w portalu, wybierz pozycję Bramy aplikacji i kliknij istniejącą usługę Application Gateway.

2. Wybierz pozycję Ustawienia protokołu SSL z menu po lewej stronie.

3. Kliknij znak plus obok pozycji Profile SSL u góry, aby utworzyć nowy profil SSL.

4. Wprowadź nazwę w obszarze Nazwa profilu SSL. W tym przykładzie wywołujemy aplikację profilu SSLGatewaySSLProfile.

5. Pozostań na karcie Uwierzytelnianie klienta. Przekaż certyfikat PEM, który ma być używany do wzajemnego uwierzytelniania między klientem a usługą Application Gateway przy użyciu przycisku Przekaż nowy certyfikat .

   Aby uzyskać więcej informacji na temat wyodrębniania łańcuchów certyfikatów zaufanego urzędu certyfikacji klienta do przekazania tutaj, zobacz jak wyodrębnić łańcuchy certyfikatów zaufanego urzędu certyfikacji klienta.

   Uwaga

   Jeśli nie jest to twój pierwszy profil SSL i przekazano inne certyfikaty klienta do usługi Application Gateway, możesz ponownie użyć istniejącego certyfikatu w bramie za pomocą menu rozwijanego.

6. Zaznacz pole Sprawdź nazwę wyróżniającą wystawcy certyfikatu klienta tylko wtedy, gdy chcesz, aby usługa Application Gateway zweryfikowała natychmiastową nazwę wyróżniającą wystawcy certyfikatu klienta.

7. Rozważ dodanie zasad specyficznych dla odbiornika. Zobacz instrukcje dotyczące konfigurowania zasad protokołu SSL specyficznych dla odbiornika.

8. Wybierz pozycję Dodaj , aby zapisać.

   

Kojarzenie profilu SSL z odbiornikiem

Po utworzeniu profilu SSL ze skonfigurowanym wzajemnym uwierzytelnianiem musimy skojarzyć profil SSL z odbiornikiem w celu ukończenia konfigurowania wzajemnego uwierzytelniania.

1. Przejdź do istniejącej usługi Application Gateway. Jeśli po prostu wykonano powyższe kroki, nie musisz wykonywać żadnych czynności w tym miejscu.

2. Wybierz pozycję Odbiorniki z menu po lewej stronie.

3. Kliknij pozycję Dodaj odbiornik , jeśli nie masz jeszcze skonfigurowanego odbiornika HTTPS. Jeśli masz już odbiornik HTTPS, kliknij go z listy.

4. Wypełnij pola Nazwa odbiornika, Adres IP frontonu, Port, Protokół i inne Ustawienia HTTPS, aby spełnić wymagania.

5. Zaznacz pole wyboru Włącz profil SSL, aby wybrać profil SSL, który ma być skojarzony z odbiornikiem.

6. Wybierz właśnie utworzony profil SSL z listy rozwijanej. W tym przykładzie wybieramy profil SSL utworzony na podstawie wcześniejszych kroków: applicationGatewaySSLProfile.

7. Kontynuuj konfigurowanie pozostałej części odbiornika w celu spełnienia wymagań.

8. Kliknij przycisk Dodaj , aby zapisać nowy odbiornik z skojarzonym profilem SSL.

   

Odnawianie wygasłych certyfikatów urzędu certyfikacji klienta

W przypadku wygaśnięcia certyfikatu urzędu certyfikacji klienta można zaktualizować certyfikat w bramie, wykonując następujące kroki:

1. Przejdź do usługi Application Gateway i przejdź do karty Ustawienia protokołu SSL w menu po lewej stronie.

2. Wybierz istniejące profile SSL z wygasłym certyfikatem klienta.

3. Wybierz pozycję Przekaż nowy certyfikat na karcie Uwierzytelnianie klienta i przekaż nowy certyfikat klienta.

4. Wybierz ikonę kosza obok wygasłego certyfikatu. Spowoduje to usunięcie skojarzenia tego certyfikatu z profilu SSL.

5. Powtórz kroki od 2 do 4 powyżej przy użyciu dowolnego innego profilu SSL, który używał tego samego wygasłego certyfikatu klienta. Będzie można wybrać nowy certyfikat przekazany w kroku 3 z menu rozwijanego w innych profilach SSL.

Następne kroki

• Zarządzanie ruchem internetowym przy użyciu bramy aplikacji za pomocą interfejsu wiersza polecenia platformy Azure