Odnawianie certyfikatów usługi Application Gateway
W pewnym momencie należy odnowić certyfikaty, jeśli skonfigurowano bramę aplikacji na potrzeby szyfrowania TLS/SSL.
Istnieją dwie lokalizacje, w których mogą istnieć certyfikaty: certyfikaty przechowywane w usłudze Azure Key Vault lub certyfikaty przekazane do bramy aplikacji.
Certyfikaty w usłudze Azure Key Vault
Gdy usługa Application Gateway jest skonfigurowana do używania certyfikatów usługi Key Vault, jej wystąpienia pobierają certyfikat z usługi Key Vault i instalują je lokalnie w celu zakończenia szyfrowania TLS. Wystąpienia sondować usługę Key Vault w czterech godzinach, aby pobrać odnowioną wersję certyfikatu, jeśli istnieje. Jeśli zostanie znaleziony zaktualizowany certyfikat, certyfikat TLS/SSL, który jest obecnie skojarzony z odbiornikiem HTTPS, jest automatycznie obracany.
Napiwek
Każda zmiana usługi Application Gateway wymusi sprawdzenie w usłudze Key Vault, aby sprawdzić, czy są dostępne jakiekolwiek nowe wersje certyfikatów. Obejmuje to, ale nie tylko, zmiany konfiguracji adresów IP frontonu, odbiorników, reguł, pul zaplecza, tagów zasobów i nie tylko. Jeśli zostanie znaleziony zaktualizowany certyfikat, nowy certyfikat zostanie natychmiast przedstawiony.
Usługa Application Gateway używa identyfikatora wpisu tajnego w usłudze Key Vault do odwoływanie się do certyfikatów. W przypadku programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub usługi Azure Resource Manager zdecydowanie zalecamy użycie identyfikatora wpisu tajnego, który nie określa wersji. W ten sposób usługa Application Gateway automatycznie obraca certyfikat, jeśli nowsza wersja jest dostępna w magazynie kluczy. Przykładem identyfikatora URI wpisu tajnego bez wersji jest https://myvault.vault.azure.net/secrets/mysecret/
.
Certyfikaty w bramie aplikacji
Usługa Application Gateway obsługuje przekazywanie certyfikatów bez konieczności konfigurowania usługi Azure Key Vault. Aby odnowić przekazane certyfikaty, wykonaj następujące kroki dla witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Azure Portal
Aby odnowić certyfikat odbiornika z portalu, przejdź do odbiorników bramy aplikacji. Wybierz odbiornik z certyfikatem, który musi zostać odnowiony, a następnie wybierz pozycję Odnów lub edytuj wybrany certyfikat.
Przekaż nowy certyfikat PFX, nadaj mu nazwę, wpisz hasło, a następnie wybierz pozycję Zapisz.
Azure PowerShell
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Aby odnowić certyfikat przy użyciu programu Azure PowerShell, użyj następującego skryptu:
$appgw = Get-AzApplicationGateway `
-ResourceGroupName <ResourceGroup> `
-Name <AppGatewayName>
$password = ConvertTo-SecureString `
-String "<password>" `
-Force `
-AsPlainText
set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password
Set-AzApplicationGateway -ApplicationGateway $appgw
Interfejs wiersza polecenia platformy Azure
az network application-gateway ssl-cert update \
-n "<CertName>" \
--gateway-name "<AppGatewayName>" \
-g "ResourceGroupName>" \
--cert-file <PathToCerFile> \
--cert-password "<password>"
Następne kroki
Aby dowiedzieć się, jak skonfigurować odciążanie protokołu TLS przy użyciu bramy aplikacja systemu Azure, zobacz Konfigurowanie odciążania protokołu TLS.