Vytvoření certifikátů pro povolení back-endu se službou Azure Application Gateway

Aby služba Application Gateway prováděla kompletní TLS, vyžaduje, aby back-endové instance byly povoleny nahráním autentizačních nebo důvěryhodných kořenových certifikátů. Pro skladovou položku v1 jsou vyžadovány ověřovací certifikáty, ale pro skladovou položku v2 jsou vyžadovány důvěryhodné kořenové certifikáty, aby bylo možné certifikáty povolit.

V tomto článku se naučíte:

• Export ověřovacího certifikátu z back-endového certifikátu (pro skladovou položku v1)
• Export důvěryhodného kořenového certifikátu z back-endového certifikátu (pro skladovou položku v2)

Požadavky

K vygenerování ověřovacích certifikátů nebo důvěryhodných kořenových certifikátů potřebných k povolení back-endových instancí se službou Application Gateway se vyžaduje existující back-endový certifikát. Back-endový certifikát může být stejný jako certifikát TLS/SSL nebo jiný pro přidání zabezpečení. Application Gateway neposkytuje žádný mechanismus pro vytvoření nebo nákup certifikátu TLS/SSL. Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem, ale neměli byste ho používat pro produkční úlohy.

Export ověřovacího certifikátu (pro skladovou položku v1)

K povolení backendových instancí ve verzi SKU Application Gateway v1 se vyžaduje ověřovací certifikát. Ověřovací certifikát je veřejný klíč certifikátu backendového serveru ve formátu X.509 s kódováním Base-64 (.CER). V tomto příkladu použijete pro back-endový certifikát certifikát TLS/SSL a exportujete jeho veřejný klíč, který se použije jako ověřovací certifikace. V tomto příkladu také použijete nástroj Správce certifikátů systému Windows k exportu požadovaných certifikátů. Můžete použít jakýkoli jiný nástroj, který je pohodlný.

Z certifikátu TLS/SSL exportujte veřejný klíč .cer soubor (ne privátní klíč). Následující kroky vám pomohou exportovat soubor .cer ve formátu X.509 s kódováním Base-64 (.CER) pro váš certifikát:

1. Chcete-li získat soubor .cer z certifikátu, otevřete spravovat uživatelské certifikáty. Vyhledejte certifikát (obvykle v části Certifikáty – Aktuální uživatel\Osobní\Certifikáty) a klikněte pravým tlačítkem myši. Klepněte na tlačítko Všechny úkoly a potom klepněte na tlačítko Exportovat. Otevře se Průvodce exportem certifikátu. Pokud chcete otevřít Správce certifikátů v aktuálním oboru uživatele pomocí PowerShellu, zadejte do okna konzoly nástroj certmgr .

   Poznámka:

   Pokud nemůžete najít certifikát v části Aktuální uživatel\Osobní\Certifikáty, pravděpodobně jste nechtěně otevřeli Certifikáty – místní počítač, ne Certifikáty – Aktuální uživatel.

   

2. V Průvodci klepněte na tlačítko Další.

   

3. Vyberte ne, neexportujte privátní klíč a klikněte na tlačítko Další.

   

4. Na stránce Exportovat formát souboru vyberte X.509 s kódováním Base-64 (. CER) a potom klepněte na tlačítko Další.

   

5. Chcete-li soubor exportovat, přejděte do umístění, do kterého chcete certifikát exportovat. Pro Název souboru zadejte název souboru certifikátu. Poté klepněte na Další.

   

6. Certifikát vyexportujte kliknutím na Dokončit.

   

7. Certifikát se úspěšně exportuje.

   

   Exportovaný certifikát vypadá nějak takto:

   

8. Pokud exportovaný certifikát otevřete pomocí Poznámkového bloku, zobrazí se něco podobného jako v tomto příkladu. Oddíl v modrém formátu obsahuje informace, které se nahrají do aplikační brány. Pokud certifikát otevřete v Poznámkovém bloku a nevypadá podobně, obvykle to znamená, že jste ho neexportovali pomocí formátu X.509 s kódováním Base-64 (.CER). Pokud chcete použít jiný textový editor, mějte na vědomí, že některé editory můžou na pozadí zavést nezamýšlené formátování. To může způsobit problémy při nahrání textu z tohoto certifikátu do Azure.

   

Export důvěryhodného kořenového certifikátu (pro skladovou položku v2)

Aby byla povolena instance backendu ve verzi SKU Application Gateway v2, je vyžadován důvěryhodný kořenový certifikát. Kořenový certifikát je certifikát formátu X.509 (.CER) s kódováním Base-64 pocházející z certifikátů backendového serveru. V tomto příkladu použijeme pro back-endový certifikát certifikát TLS/SSL, exportujeme jeho veřejný klíč a potom exportujeme kořenový certifikát důvěryhodné certifikační autority z veřejného klíče ve formátu base64 s kódováním Base64, abychom získali důvěryhodný kořenový certifikát. Zprostředkující certifikáty by se měly sbalit s certifikátem serveru a nainstalovat na back-endový server.

Následující kroky vám pomůžou exportovat soubor .cer certifikátu:

1. K exportu veřejného klíče z back-endového certifikátu použijte kroky 1 až 8 uvedené v předchozí části Export ověřovacího certifikátu (pro skladovou položku v1 ).

2. Po exportu veřejného klíče otevřete soubor.

   

   

3. Přejděte do zobrazení Cesta certifikace a zobrazte certifikační autoritu.

   

4. Vyberte kořenový certifikát a klikněte na Zobrazit certifikát.

   

   Měly by se zobrazit podrobnosti o kořenovém certifikátu.

   

5. Přejděte do zobrazení Podrobností a klikněte na Kopírovat do souboru...

   

6. V tuto chvíli jste extrahovali podrobnosti o kořenovém certifikátu z back-endového certifikátu. Zobrazí se Průvodce exportem certifikátu. Nyní použijte kroky 2 až 9 uvedené v předchozí části Export ověřovacího certifikátu z certifikátu back-endu (pro v1 SKU) k exportu důvěryhodného kořenového certifikátu ve formátu X.509 s kódováním Base-64 (.CER).

Další kroky

Nyní máte certifikát pro ověření nebo důvěryhodný kořenový certifikát ve formátu X.509 (.CER) kódovaném jako Base-64. Můžete ho přidat do aplikační brány, abyste back-endovým serverům umožnili koncové šifrování TLS. Viz Konfigurace koncového šifrování TLS pomocí služby Application Gateway s PowerShellem.