Exercício – configurar um serviço de escuta do Gateway de Aplicação para encriptação

Concluído

Agora que configurou os certificados para o Gateway de Aplicação do Azure e o conjunto de back-end, pode criar um serviço de escuta para processar os pedidos recebidos. O ouvinte aguarda as mensagens, descriptografa-as usando a chave privada e, em seguida, encaminha essas mensagens para o pool de back-end.

Nesta unidade, irá configurar o serviço de escuta com a porta 443 e com o certificado SSL que criou no primeiro exercício. A imagem a seguir destaca os elementos configurados neste exercício.

Configurar o serviço de escuta

1. Execute o seguinte comando para criar uma nova porta frontend (443) para o gateway:

   az network application-gateway frontend-port create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-port \
     --port 8443
   

2. Carregue o certificado SSL para o Gateway de Aplicação. O script de configuração gerou este certificado no exercício anterior. O certificado é armazenado no ficheiro appgateway.pfx na pasta server-config.

   A palavra-passe gerada para o ficheiro .pfx é somepassword. Não altere no comando seguinte.

   az network application-gateway ssl-cert create \
      --resource-group $rgName \
      --gateway-name gw-shipping \
      --name appgateway-cert \
      --cert-file server-config/appgateway.pfx \
      --cert-password somepassword
   

3. Execute o seguinte comando para criar um novo serviço de escuta que aceite tráfego de entrada na porta 443. O serviço de escuta utiliza o certificado appgateway-cert para desencriptar mensagens.

   az network application-gateway http-listener create \
     --resource-group $rgName \
     --gateway-name gw-shipping \
     --name https-listener \
     --frontend-port https-port \
     --ssl-cert appgateway-cert
   

4. Execute o seguinte comando para criar uma regra que direcione o tráfego recebido através do novo serviço de escuta para o conjunto de back-end. Este comando pode demorar um ou dois minutos para concluir.

   az network application-gateway rule create \
       --resource-group $rgName \
       --gateway-name gw-shipping \
       --name https-rule \
       --address-pool ap-backend \
       --http-listener https-listener \
       --http-settings https-settings \
       --rule-type Basic \
       --priority 102
   

Testar o gateway de aplicação

1. Obtenha o URL público do gateway de aplicação.

   echo https://$(az network public-ip show \
     --resource-group $rgName \
     --name appgwipaddr \
     --query ipAddress \
     --output tsv)
   

2. Aceda ao URL num browser.

   Tal como anteriormente, o seu browser poderá apresentar uma mensagem de aviso a indicar que a ligação SSL está a utilizar um certificado não autenticado. Esse aviso é exibido porque o certificado é autoassinado. Pode ignorar este aviso e avançar para o site.

3. Verifique se a home page do portal de encomendas é apresentada.

Você configurou o ouvinte para ouvir na porta 443 e descriptografar os dados que estão prontos para serem passados para o pool de back-end. Os dados serão novamente encriptados quando forem transmitidos do gateway para um servidor no conjunto de back-end. Com esse ouvinte instalado, você configurou a criptografia de ponta a ponta para o portal de envio.

Você pode excluir esses recursos, se necessário. A maneira mais fácil de excluir todos os recursos criados neste módulo é simplesmente excluir o grupo de recursos.