Configurar a autenticação mútua com o Application Gateway através do portal

Este artigo descreve como usar o portal do Azure para configurar a autenticação mútua em seu Gateway de Aplicativo. Autenticação mútua significa que o Application Gateway autentica o cliente que envia a solicitação usando o certificado de cliente carregado no Application Gateway.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Antes de começar

Para configurar a autenticação mútua com um Application Gateway, você precisa de um certificado de cliente para carregar no gateway. O certificado do cliente será usado para validar o certificado que o cliente apresentará ao Application Gateway. Para fins de teste, você pode usar um certificado autoassinado. No entanto, isso não é recomendado para cargas de trabalho de produção, porque elas são mais difíceis de gerenciar e não são completamente seguras.

Para saber mais, especialmente sobre que tipo de certificados de cliente você pode carregar, consulte Visão geral da autenticação mútua com o Application Gateway.

Criar um novo gateway de aplicativo

Primeiro, crie um novo Application Gateway como faria normalmente através do portal - não são necessárias etapas adicionais na criação para habilitar a autenticação mútua. Para obter mais informações sobre como criar um Application Gateway no portal, confira nosso tutorial de início rápido do portal.

Configurar autenticação mútua

Para configurar um Application Gateway existente com autenticação mútua, você precisará primeiro ir para a guia Configurações de SSL no Portal e criar um novo perfil SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação do Cliente e Política SSL. A guia Autenticação de Cliente é onde você carregará o(s) seu(s) certificado(s) de cliente. A guia Política SSL é para configurar uma política SSL específica do ouvinte - para obter mais informações, confira Configurando uma política SSL específica do ouvinte.

Importante

Certifique-se de carregar toda a cadeia de certificados da autoridade de certificação do cliente em um arquivo e apenas uma cadeia por arquivo.

1. Procure por Application Gateway no portal, selecione Application gateways e clique em seu Application Gateway existente.

2. Selecione Configurações de SSL no menu do lado esquerdo.

3. Clique no sinal de mais ao lado de Perfis SSL na parte superior para criar um novo perfil SSL.

4. Insira um nome em Nome do perfil SSL. Neste exemplo, chamamos nosso aplicativo de perfil SSLGatewaySSLProfile.

5. Carregue o certificado PEM que você pretende usar para autenticação mútua entre o cliente e o Application Gateway usando o botão Carregar um novo certificado.

   Para obter mais informações sobre como extrair cadeias de certificados de CA de clientes confiáveis para carregar aqui, consulte como extrair cadeias de certificados de CA de clientes confiáveis.

   Nota

   Se este não for o seu primeiro perfil SSL e tiver carregado outros certificados de cliente no seu Application Gateway, pode optar por reutilizar um certificado existente no seu gateway através do menu pendente.

6. Marque a caixa Verificar DN do emissor do certificado do cliente somente se desejar que o Application Gateway verifique o Nome Distinto do emissor imediato do certificado do cliente.

7. Considere adicionar uma política específica para ouvintes. Consulte as instruções para configurar políticas SSL específicas do ouvinte.

8. Selecione Adicionar para salvar.

   

Associar o perfil SSL a um ouvinte

Agora que criamos um perfil SSL com autenticação mútua configurada, precisamos associar o perfil SSL ao ouvinte para concluir a configuração da autenticação mútua.

1. Navegue até o Application Gateway existente. Se você acabou de concluir as etapas acima, não precisa fazer nada aqui.

2. Selecione Ouvintes no menu do lado esquerdo.

3. Clique em Adicionar ouvinte se ainda não tiver um ouvinte HTTPS configurado. Se você já tem um ouvinte HTTPS, clique nele na lista.

4. Preencha o nome do ouvinte, o IP do Frontend, a Porta, o Protocolo e outras configurações HTTPS para atender às suas necessidades.

5. Marque a caixa de seleção Habilitar perfil SSL para que você possa selecionar qual perfil SSL associar ao ouvinte.

6. Selecione o perfil SSL que você acabou de criar na lista suspensa. Neste exemplo, escolhemos o perfil SSL que criamos a partir das etapas anteriores: applicationGatewaySSLProfile.

7. Continue configurando o restante do ouvinte para atender às suas necessidades.

8. Clique em Adicionar para salvar seu novo ouvinte com o perfil SSL associado a ele.

   

Renovar certificados de CA de cliente expirados

Caso o certificado da autoridade de certificação do cliente tenha expirado, você pode atualizá-lo no gateway por meio das seguintes etapas:

1. Navegue até o Application Gateway e vá para a guia Configurações de SSL no menu à esquerda.

2. Selecione o(s) perfil(s) SSL(is) existente(s) com o certificado de cliente expirado.

3. Selecione Carregar um novo certificado na guia Autenticação de Cliente e carregue seu novo certificado de cliente.

4. Selecione o ícone da lixeira ao lado do certificado expirado. Isso removerá a associação desse certificado do perfil SSL.

5. Repita as etapas 2 a 4 acima com qualquer outro perfil SSL que estava usando o mesmo certificado de cliente expirado. Você poderá escolher o novo certificado que carregou na etapa 3 no menu suspenso em outros perfis SSL.

Próximos passos

• Gerir o tráfego da Web com um gateway de aplicação com a CLI do Azure