匯出受信任的用戶端 CA 憑證鏈結以與用戶端驗證搭配使用
為設定與用戶端的相互驗證或用戶端驗證,Azure 應用程式閘道需上傳受信任的用戶端 CA 憑證鏈結至閘道。 若您有多個憑證鏈結,則需分別建立鏈結,並以個別檔案方式上傳至 Azure 應用程式閘道。 本文協助您瞭解如何匯出受信任的用戶端 CA 憑證鏈結,以便您將其用於閘道的用戶端驗證設定。
必要條件
需要現有用戶端憑證才能產生受信任的用戶端 CA 憑證鏈結。
匯出受信任的用戶端 CA 憑證
需要受信任的用戶端 CA 憑證才能在 Azure 應用程式閘道使用用戶端驗證。 在這個範例,我們利用 TLS/SSL 憑證作為用戶端憑證,匯出其公開金鑰,然後從公開金鑰匯出 CA 憑證,以便取得受信任的用戶端 CA 憑證。 然後,我們將所有用戶端 CA 憑證串連為單一受信任的用戶端 CA 憑證鏈結。
以下步驟可協助您匯出憑證的 .pem 或 .cer 檔案:
匯出公開憑證
若要取得憑證的 .cer 檔案,請開啟 [管理使用者憑證]。 找到憑證 (通常位於「憑證-目前使用者\ 個人\ 憑證」),然後按一下滑鼠右鍵。 按一下 [所有工作],然後按一下 [匯出]。 這會開啟 [憑證匯出精靈] 。 若您在 Current User\Personal\Certificates 下找不到憑證,您可能已意外開啟 [憑證 - 本機電腦],而非 [憑證 - 目前使用者]。 若要使用 PowerShell 在目前使用者範圍開啟 [憑證管理員],您必須在主控台視窗中輸入 certmgr。
在精靈中,按 [下一步]。
選取 [否,不要匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面上,選取 [Base-64 編碼 X.509 (.CER)],然後按 [下一步]。
針對 [要匯出的檔案],[瀏覽] 至您要匯出憑證的位置。 針對 [檔案名稱] ,請為憑證檔案命名。 然後按 [下一步]。
按一下 [完成] 以匯出憑證。
已成功匯出您的憑證。
匯出的憑證如下所示:
從公開憑證匯出 CA 憑證
在您匯出公開憑證之後,現在將從您的公開憑證匯出 CA 憑證。 若您僅有根 CA,則僅需匯出該憑證。 不過,若您有 1 個以上的中繼 CA,則您也需匯出個別 CA。
匯出公開金鑰後,開啟檔案。
選取憑證路徑分頁,檢視憑證授權單位。
選取根憑證,然後按一下檢視憑證。
您應該會看到根憑證詳細資料。
選取 [詳細資料] 分頁,然後按一下 [複製到檔案...]
此時,您已從公開憑證擷取根 CA 憑證的詳細資料。 您會看到憑證匯出精靈。 依照前一章節 (匯出公開憑證) 的步驟 2-7,完成憑證匯出精靈。
現在,針對所有中繼 CA 重複本章節的步驟 2-6 (從公開憑證匯出 CA 憑證),以便利用 Base-64 編碼 X.509 (.CER) 格式來匯出所有中繼 CA 憑證。
例如,您可針對 MSIT CAZ2 中繼 CA 重複本章節的步驟 2-6,將其擷取為其本身的憑證。
串連所有 CA 憑證為單一檔案
利用先前擷取的所有 CA 憑證來執行以下命令。
Windows:
type intermediateCA.cer rootCA.cer > combined.cer
Linux:
cat intermediateCA.cer rootCA.cer >> combined.cer
您產生的組合憑證應如下所示:
下一步
現在您擁有受信任的用戶端 CA 憑證鏈結。 您可新增該鏈結至 Azure 應用程式閘道的用戶端驗證設定,以便透過閘道進行相互驗證。 請參閱利用入口網站來透過 Azure 應用程式閘道設定相互驗證或利用 PowerShell 來透過 Azure 應用程式閘道設定相互驗證。