Sdílet prostřednictvím

Konfigurace vzájemného ověřování pomocí služby Application Gateway prostřednictvím portálu

Tento článek popisuje, jak pomocí webu Azure Portal nakonfigurovat vzájemné ověřování ve službě Application Gateway. Vzájemné ověřování znamená, že Služba Application Gateway ověřuje klienta odesílajícího požadavek pomocí klientského certifikátu, který nahrajete do služby Application Gateway.

Pokud nemáte předplatné Azure, vytvořte si bezplatný účet před zahájením.

Než začnete

Ke konfiguraci vzájemného ověřování pomocí služby Application Gateway potřebujete klientský certifikát pro nahrání do brány. Klientský certifikát se použije k ověření certifikátu, který bude klient prezentovat službě Application Gateway. Pro účely testování můžete použít certifikát podepsaný svým držitelem. To se ale nedoporučuje pro produkční úlohy, protože je obtížnější spravovat a nejsou zcela zabezpečené.

Další informace, zejména o tom, jaký druh klientských certifikátů můžete nahrát, najdete v tématu Přehled vzájemného ověřování ve službě Application Gateway.

Vytvoření nové služby Application Gateway

Nejprve vytvořte novou službu Application Gateway, jak byste obvykle procházeli portálem – k povolení vzájemného ověřování nejsou potřeba žádné další kroky. Další informace o tom, jak vytvořit službu Application Gateway na portálu, najdete v kurzu rychlý start k portálu.

Konfigurace vzájemného ověřování

Pokud chcete nakonfigurovat existující službu Application Gateway se vzájemným ověřováním, musíte nejprve přejít na kartu nastavení SSL na portálu a vytvořit nový profil SSL. Když vytvoříte profil SSL, zobrazí se dvě karty: Ověřování klientů a zásady SSL. Na kartě Ověřování klienta nahrajete svoje klientské certifikáty. Karta Zásady SSL slouží ke konfiguraci konkrétní zásady SSL naslouchacího procesu – další informace najdete v tématu Konfigurace konkrétních zásad SSL naslouchacího procesu.

Důležité

Ujistěte se, že nahrajete celý řetěz certifikátů certifikační autority klienta do jednoho souboru a pouze jeden řetěz na soubor.

  1. Vyhledejte službu Application Gateway na portálu, vyberte Aplikační brány a klikněte na stávající službu Application Gateway.

  2. V nabídce na levé straně vyberte nastavení SSL .

  3. Kliknutím na znaménko plus vedle profilů SSL v horní části vytvořte nový profil SSL.

  4. Zadejte název pod název profilu SSL. V tomto příkladu nazýváme náš profil SSL jako applicationGatewaySSLProfile.

  5. Zůstaňte na kartě Ověřování klienta . Pomocí tlačítka Nahrát nový certifikát nahrajte certifikát PEM, který chcete použít k vzájemnému ověřování mezi klientem a službou Application Gateway.

    Další informace o tom, jak extrahovat řetězce certifikátů důvěryhodné klientské CA, které chcete nahrát, najdete v tématu jak extrahovat řetězce certifikátů důvěryhodné klientské CA.

    Poznámka:

    Pokud se nejedná o váš první profil SSL a nahráli jste do služby Application Gateway další klientské certifikáty, můžete v rozevírací nabídce znovu použít existující certifikát ve vaší bráně.

  6. Zaškrtněte políčko Ověřit DN vystavitele klientského certifikátu pouze v případě, že chcete, aby služba Application Gateway ověřila DN přímého vystavitele klientského certifikátu.

  7. Zvažte přidání zásady specifické pro posluchače. Přečtěte si pokyny k nastavení zásad SSL specifických pro naslouchací proces.

  8. Vyberte Přidat pro uložení.

    Přidání ověřování klienta do profilu SSL

Přidružení profilu SSL k naslouchací službě

Teď, když jsme vytvořili profil SSL s nakonfigurovaným vzájemným ověřováním, musíme k naslouchacímu procesu přidružit profil SSL, abychom dokončili nastavení vzájemného ověřování.

  1. Přejděte ke stávající službě Application Gateway. Pokud jste právě dokončili výše uvedené kroky, nemusíte tady nic dělat.

  2. Vyberte Posluchači z levého menu.

  3. Pokud ještě nemáte nastavený naslouchací proces HTTPS, klikněte na Přidat naslouchací proces . Pokud už máte posluchač HTTPS, klikněte na něj ze seznamu.

  4. Vyplňte název naslouchacího procesu, IP adresu front-endu, port, protokol a další nastavení HTTPS podle vašich požadavků.

  5. Zaškrtněte políčko Povolit profil SSL , abyste mohli vybrat profil SSL, který chcete přidružit k naslouchacímu procesu.

  6. V rozevíracím seznamu vyberte profil SSL, který jste právě vytvořili. V tomto příkladu zvolíme profil SSL, který jsme vytvořili v předchozích krocích: applicationGatewaySSLProfile.

  7. Pokračujte v konfiguraci zbytku listeneru tak, aby vyhovoval vašim požadavkům.

  8. Kliknutím na Přidat uložíte nový posluchač s ním přidruženým profilem SSL.

    Přidružit SSL profil k novému nasluchači

Prodloužení platnosti certifikátů klientské certifikační autority, jejichž platnost vypršela

V případě, že vypršela platnost certifikátu certifikační autority klienta, můžete certifikát v bráně aktualizovat pomocí následujících kroků:

  1. Přejděte do služby Application Gateway a v nabídce vlevo přejděte na kartu nastavení SSL .

  2. Vyberte existující profily SSL s prošlým klientským certifikátem.

  3. Na kartě Ověřování klienta vyberte Nahrát nový certifikát a nahrajte nový klientský certifikát.

  4. Vyberte ikonu koše vedle certifikátu, jehož platnost vypršela. Tím se z profilu SSL odebere přidružení tohoto certifikátu.

  5. Opakujte kroky 2 až 4 výše s jakýmkoli jiným profilem SSL, který používal stejný klientský certifikát s vypršenou platností. V rozevírací nabídce v jiných profilech SSL budete moct zvolit nový certifikát, který jste nahráli v kroku 3.

Další kroky

  • Last updated on