建立憑證以允許後端搭配 Azure 應用程式閘道
為了進行端對端 TLS,應用程式閘道需要藉由上傳驗證/受信任的根憑證來允許後端執行個體。 若為 v1 SKU,需要的是驗證憑證,但若為 v2 SKU,則需要是受信任的根憑證,才能允許憑證。
在本文中,您將學會如何:
- 從後端憑證匯出驗證憑證 (針對 v1 SKU)
- 從後端憑證匯出受信任的根憑證 (針對 v2 SKU)
必要條件
需要現有的後端憑證,才能產生驗證憑證或允許具有應用程式閘道後端執行個體的受信任根憑證。 後端憑證可以與 TLS/SSL 憑證相同,或針對新增的安全性而有所不同。 應用程式閘道不提供建立或購買 TLS/SSL 憑證的任何機制。 基於測試目的,您可以建立自我簽署憑證,但不應該將其用於生產工作負載。
匯出驗證憑證 (針對 v1 SKU)
需要驗證憑證,才能允許應用程式閘道 v1 SKU 中的後端執行個體。 驗證憑證是使用 Base-64 編碼 X.509(.CER) 格式的後端伺服器憑證的公開金鑰。 在此範例中,您將針對後端憑證使用 TLS/SSL 憑證,並匯出其公開金鑰作為驗證認證。 此外,在此範例中,您將使用 Windows 憑證管理員工具來匯出所需的憑證。 您可以選擇使用任何其他方便的工具。
從 TLS/SSL 憑證匯出公開金鑰 .cer 檔案 (非私密金鑰)。 下列步驟可協助您以 Base-64 編碼 X.509(.CER) 格式匯出憑證的 .cer 檔案:
若要取得憑證的 .cer 檔案,請開啟 [管理使用者憑證]。 找到憑證 (通常位於「憑證-目前使用者\ 個人\ 憑證」),然後按一下滑鼠右鍵。 按一下 [所有工作],然後按一下 [匯出]。 這會開啟 [憑證匯出精靈] 。 若要使用 PowerShell 在目前使用者範圍開啟 [憑證管理員],您必須在主控台視窗中輸入 certmgr。
注意
若您在 Current User\Personal\Certificates 下找不到憑證,您可能已意外開啟 [憑證 - 本機電腦],而非 [憑證 - 目前使用者]。
在精靈中,按 [下一步]。
選取 [否,不要匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面上,選取 [Base-64 編碼 X.509 (.CER)],然後按 [下一步]。
針對 [要匯出的檔案],[瀏覽] 至您要匯出憑證的位置。 針對 [檔案名稱] ,請為憑證檔案命名。 然後按 [下一步]。
按一下 [完成] 以匯出憑證。
已成功匯出您的憑證。
匯出的憑證如下所示:
如果您使用「記事本」開啟匯出的憑證,您會看到類似於此範例的內容。 以藍色標示的部分包含上傳至應用程式閘道的資訊。 如果您使用「記事本」開啟您的憑證,但並未顯示這樣的內容,這通常表示您未使用 Base-64 編碼 X.509(.CER) 格式進行匯出。 此外,如果您想要使用不同的文字編輯器,請了解某些編輯器可能會在背景中導入非預期的格式。 這可能會在此憑證中的文字上傳至 Azure 時產生問題。
匯出受信任根憑證 (針對 v2 SKU)
需要受信任根憑證,才能允許應用程式閘道 v2 SKU 中的後端執行個體。 根憑證是來自後端伺服器憑證且採用 Base-64 編碼及 X.509(.CER) 格式的根憑證。 在此範例中,我們將針對後端憑證使用 TLS/SSL 憑證、匯出其公開金鑰,然後將受信任 CA 的根憑證從 base64 編碼格式的公開金鑰匯出,以取得受信任的根憑證。 中繼憑證應該與伺服器憑證配套,並安裝在後端伺服器上。
下列步驟可協助您匯出根憑證的 .cer 檔案:
使用上一節匯出驗證憑證 (針對 v1 SKU) 中所述的步驟 1 - 8,從後端憑證匯出公開金鑰。
匯出公開金鑰後,開啟檔案。
移至 [認證路徑] 檢視,以檢視憑證授權單位。
選取根憑證,然後按一下檢視憑證。
您應該會看到根憑證詳細資料。
移至 [詳細資料] 檢視,然後按一下 [複製到檔案...]
此時,您已從後端憑證擷取根憑證的詳細資料。 您會看到 [憑證匯出精靈]。 現在,使用上方章節從後端憑證匯出驗證憑證 (針對 v1 SKU) 中所述的步驟 2-9,以 Base-64 編碼 X.509(.CER) 格式匯出受信任根憑證。
下一步
現在,您已擁有 Base-64 編碼 X.509(.CER) 格式的驗證憑證/受信任根憑證。 您可以將此憑證新增至應用程式閘道,以允許後端伺服器進行端對端 TLS 加密。 請參閱透過 PowerShell 使用應用程式閘道來設定端對端 TLS。