مشاركة عبر

تجديد شهادات بوابة التطبيق

  • مقالة

في مرحلة ما، ستحتاج إلى تجديد الشهادات الخاصة بك إذا قمت بتكوين بوابة التطبيق الخاص بك لتشفير TLS/SSL.

هناك موقعان حيث قد توجد الشهادات: الشهادات المخزنة في Azure Key Vault، أو الشهادات التي تم تحميلها إلى بوابة تطبيق.

الشهادات على Azure Key Vault

عند تكوين بوابة التطبيق لاستخدام شهادات Key Vault، تسترد مثيلاتها الشهادة من Key Vault وتثبيتها محليا لإنهاء TLS. تقوم المثيلات باستقصاء Key Vault على فترات أربع ساعات لاسترداد إصدار مجدد من الشهادة إذا كان موجودا. إذا تم العثور على شهادة محدثة، فسيتم تلقائيا تدوير شهادة TLS/SSL المقترنة حاليا بمستمع HTTPS.

تلميح

أي تغيير في Application Gateway سيفرض فحصا مقابل Key Vault لمعرفة ما إذا كانت هناك أي إصدارات جديدة من الشهادات متوفرة. يتضمن ذلك، على سبيل المثال لا الحصر، التغييرات التي يتم إجراؤها على تكوينات IP للواجهة الأمامية والمستمعين والقواعد وتجمعات الواجهة الخلفية وعلامات الموارد والمزيد. إذا تم العثور على شهادة محدثة، فسيتم تقديم الشهادة الجديدة على الفور.

تستخدم بوابة تطبيق معرف سري في "قبو المفتاح" للإشارة إلى الشهادات. بالنسبة إلى Azure PowerShell أو Azure CLI أو إدارة موارد Azure، نوصي بشدة باستخدام معرف سري لا يحدد إصداراً. بهذه الطريقة، سيتم تدوير بوابة التطبيق الشهادة تلقائيا إذا كان إصدار أحدث متوفر في قبو المفتاح الخاص بك. مثال على URI السري بدون إصدار هو https://myvault.vault.azure.net/secrets/mysecret/.

الشهادات على بوابة تطبيق

تدعم بوابة التطبيق تحميل الشهادة دون الحاجة إلى تكوين Azure Key Vault. لتجديد الشهادات التي تم تحميلها، استخدم الخطوات التالية لمدخل Azure أو Azure PowerShell أو Azure CLI.

مدخل Azure

لتجديد شهادة وحدة إصغاء من المدخل، انتقل إلى مستمعي بوابة التطبيق. حدد وحدة الإصغاء التي تحتوي على شهادة تحتاج إلى تجديد، ثم حدد تجديد الشهادة المحددة أو تحريرها.

تجديد الشهادات

Upload شهادة PFX الجديدة، وامنحها اسما، واكتب كلمة المرور، ثم حدد حفظ.

Azure PowerShell

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

لتجديد الشهادة باستخدام Azure PowerShell، استخدم البرنامج النصي التالي:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

الخطوات التالية

لمعرفة كيفية تكوين إلغاء تحميل TLS باستخدام Azure Application Gateway، راجع تكوين TLS Offload.