共用方式為


匯出受信任的用戶端 CA 憑證鏈結以與用戶端驗證搭配使用

為設定與用戶端的相互驗證或用戶端驗證,Azure 應用程式閘道需上傳受信任的用戶端 CA 憑證鏈結至閘道。 若您有多個憑證鏈結,則需分別建立鏈結,並以個別檔案方式上傳至 Azure 應用程式閘道。 本文協助您瞭解如何匯出受信任的用戶端 CA 憑證鏈結,以便您將其用於閘道的用戶端驗證設定。

必要條件

需要現有用戶端憑證才能產生受信任的用戶端 CA 憑證鏈結。

匯出受信任的用戶端 CA 憑證

需要受信任的用戶端 CA 憑證才能在 Azure 應用程式閘道使用用戶端驗證。 在這個範例,我們利用 TLS/SSL 憑證作為用戶端憑證,匯出其公開金鑰,然後從公開金鑰匯出 CA 憑證,以便取得受信任的用戶端 CA 憑證。 然後,我們將所有用戶端 CA 憑證串連為單一受信任的用戶端 CA 憑證鏈結。

以下步驟可協助您匯出憑證的 .pem 或 .cer 檔案:

匯出公開憑證

  1. 若要取得憑證的 .cer 檔案,請開啟 [管理使用者憑證]。 找到憑證 (通常位於「憑證-目前使用者\ 個人\ 憑證」),然後按一下滑鼠右鍵。 按一下 [所有工作],然後按一下 [匯出]。 這會開啟 [憑證匯出精靈] 。 若您在 Current User\Personal\Certificates 下找不到憑證,您可能已意外開啟 [憑證 - 本機電腦],而非 [憑證 - 目前使用者]。 若要使用 PowerShell 在目前使用者範圍開啟 [憑證管理員],您必須在主控台視窗中輸入 certmgr

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. 在精靈中,按 [下一步]

    Screenshot of export certificate.

  3. 選取 [否,不要匯出私密金鑰],然後按 [下一步]

    Screenshot of do not export the private key.

  4. 在 [匯出檔案格式] 頁面上,選取 [Base-64 編碼 X.509 (.CER)],然後按 [下一步]

    Screenshot of Base-64 encoded.

  5. 針對 [要匯出的檔案],[瀏覽] 至您要匯出憑證的位置。 針對 [檔案名稱] ,請為憑證檔案命名。 然後按 [下一步]

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. 按一下 [完成] 以匯出憑證。

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. 已成功匯出您的憑證。

    Screenshot shows the Certificate Export Wizard with a success message.

    匯出的憑證如下所示:

    Screenshot shows a certificate symbol.

從公開憑證匯出 CA 憑證

在您匯出公開憑證之後,現在將從您的公開憑證匯出 CA 憑證。 若您僅有根 CA,則僅需匯出該憑證。 不過,若您有 1 個以上的中繼 CA,則您也需匯出個別 CA。

  1. 匯出公開金鑰後,開啟檔案。

    Screenshot of Open authorization certificate.

    Screenshot of about certificate.

  2. 選取憑證路徑分頁,檢視憑證授權單位。

    Screenshot of certificate details.

  3. 選取根憑證,然後按一下檢視憑證

    Screenshot of certificate path.

    您應該會看到根憑證詳細資料。

    Screenshot of certificate info.

  4. 選取 [詳細資料] 分頁,然後按一下 [複製到檔案...]

    Screenshot of copy root certificate.

  5. 此時,您已從公開憑證擷取根 CA 憑證的詳細資料。 您會看到憑證匯出精靈。 依照前一章節 (匯出公開憑證) 的步驟 2-7,完成憑證匯出精靈。

  6. 現在,針對所有中繼 CA 重複本章節的步驟 2-6 (從公開憑證匯出 CA 憑證),以便利用 Base-64 編碼 X.509 (.CER) 格式來匯出所有中繼 CA 憑證。

    Screenshot of intermediate certificate.

    例如,您可針對 MSIT CAZ2 中繼 CA 重複本章節的步驟 2-6,將其擷取為其本身的憑證。

串連所有 CA 憑證為單一檔案

  1. 利用先前擷取的所有 CA 憑證來執行以下命令。

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer
    

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer
    

    您產生的組合憑證應如下所示:

    Screenshot of combined certificate.

下一步

現在您擁有受信任的用戶端 CA 憑證鏈結。 您可新增該鏈結至 Azure 應用程式閘道的用戶端驗證設定,以便透過閘道進行相互驗證。 請參閱利用入口網站來透過 Azure 應用程式閘道設定相互驗證利用 PowerShell 來透過 Azure 應用程式閘道設定相互驗證