Sdílet prostřednictvím


Konfigurace vzájemného ověřování pomocí služby Application Gateway prostřednictvím portálu

Tento článek popisuje, jak pomocí webu Azure Portal nakonfigurovat vzájemné ověřování ve službě Application Gateway. Vzájemné ověřování znamená, že Služba Application Gateway ověřuje klienta odesílajícího požadavek pomocí klientského certifikátu, který nahrajete do služby Application Gateway.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Než začnete

Ke konfiguraci vzájemného ověřování pomocí služby Application Gateway potřebujete klientský certifikát pro nahrání do brány. Klientský certifikát se použije k ověření certifikátu, který bude klient prezentovat službě Application Gateway. Pro účely testování můžete použít certifikát podepsaný svým držitelem. To se ale nedoporučuje pro produkční úlohy, protože je obtížnější spravovat a nejsou zcela zabezpečené.

Další informace, zejména o tom, jaký druh klientských certifikátů můžete nahrát, najdete v tématu Přehled vzájemného ověřování ve službě Application Gateway.

Vytvoření nové služby Application Gateway

Nejprve vytvořte novou službu Application Gateway, jak byste obvykle procházeli portálem – k povolení vzájemného ověřování nejsou potřeba žádné další kroky. Další informace o tom, jak vytvořit službu Application Gateway na portálu, najdete v kurzu rychlý start k portálu.

Konfigurace vzájemného ověřování

Pokud chcete nakonfigurovat existující službu Application Gateway se vzájemným ověřováním, musíte nejprve přejít na kartu nastavení SSL na portálu a vytvořit nový profil SSL. Když vytvoříte profil SSL, zobrazí se dvě karty: Ověřování klientů a zásady SSL. Na kartě Ověřování klienta nahrajete svoje klientské certifikáty. Karta Zásady SSL slouží ke konfiguraci konkrétní zásady SSL naslouchacího procesu – další informace najdete v tématu Konfigurace konkrétních zásad SSL naslouchacího procesu.

Důležité

Ujistěte se, že nahrajete celý řetěz certifikátů certifikační autority klienta do jednoho souboru a pouze jeden řetěz na soubor.

  1. Vyhledejte službu Application Gateway na portálu, vyberte Aplikační brány a klikněte na stávající službu Application Gateway.

  2. V nabídce na levé straně vyberte nastavení SSL.

  3. Kliknutím na znaménko plus vedle profilů SSL v horní části vytvořte nový profil SSL.

  4. Zadejte název pod název profilu SSL. V tomto příkladu voláme naši aplikaci profilu SSLGatewaySSLProfile.

  5. Zůstaňte na kartě Ověřování klienta. Nahrajte certifikát PEM, který chcete použít pro vzájemné ověřování mezi klientem a službou Application Gateway, pomocí tlačítka Nahrát nový certifikát .

    Další informace o extrahování řetězů certifikátů důvěryhodných klientských certifikačních autorit pro nahrání najdete v tématu extrakce řetězů certifikátů důvěryhodné certifikační autority klienta.

    Poznámka:

    Pokud se nejedná o váš první profil SSL a nahráli jste do služby Application Gateway další klientské certifikáty, můžete v rozevírací nabídce znovu použít existující certifikát ve vaší bráně.

  6. Zaškrtněte políčko Ověřit název názvu vystavitele klientského certifikátu pouze v případě, že chcete, aby služba Application Gateway ověřila okamžitý název vystavitele klientského certifikátu.

  7. Zvažte přidání konkrétní zásady naslouchacího procesu. Přečtěte si pokyny k nastavení zásad SSL specifických pro naslouchací proces.

  8. Vyberte Přidat , které chcete uložit.

    Add client authentication to SSL profile

Přidružení profilu SSL k naslouchacímu procesu

Teď, když jsme vytvořili profil SSL s nakonfigurovaným vzájemným ověřováním, musíme k naslouchacímu procesu přidružit profil SSL, abychom dokončili nastavení vzájemného ověřování.

  1. Přejděte ke stávající službě Application Gateway. Pokud jste právě dokončili výše uvedené kroky, nemusíte tady nic dělat.

  2. V nabídce na levé straně vyberte Naslouchací procesy .

  3. Pokud ještě nemáte nastavený naslouchací proces HTTPS, klikněte na Přidat naslouchací proces . Pokud už máte naslouchací proces HTTPS, klikněte na něj ze seznamu.

  4. Vyplňte název naslouchacího procesu, IP adresu front-endu, port, protokol a další Nastavení HTTPS tak, aby vyhovoval vašim požadavkům.

  5. Zaškrtněte políčko Povolit profil SSL, abyste mohli vybrat profil SSL, který chcete přidružit k naslouchacímu procesu.

  6. V rozevíracím seznamu vyberte profil SSL, který jste právě vytvořili. V tomto příkladu zvolíme profil SSL, který jsme vytvořili v předchozích krocích: applicationGatewaySSLProfile.

  7. Pokračujte v konfiguraci zbytku naslouchacího procesu tak, aby vyhovoval vašim požadavkům.

  8. Kliknutím na Přidat uložíte nový naslouchací proces s přidruženým profilem SSL.

    Associate SSL profile to new listener

Prodloužení platnosti certifikátů klientské certifikační autority, jejichž platnost vypršela

V případě, že vypršela platnost certifikátu certifikační autority klienta, můžete certifikát v bráně aktualizovat pomocí následujících kroků:

  1. Přejděte do služby Application Gateway a v nabídce vlevo přejděte na kartu nastavení SSL.

  2. Vyberte existující profily SSL s prošlým klientským certifikátem.

  3. Na kartě Ověřování klienta vyberte Nahrát nový certifikáta nahrajte nový klientský certifikát.

  4. Vyberte ikonu koše vedle certifikátu, jehož platnost vypršela. Tím se z profilu SSL odebere přidružení tohoto certifikátu.

  5. Opakujte kroky 2 až 4 výše s jakýmkoli jiným profilem SSL, který používal stejný klientský certifikát s vypršenou platností. V rozevírací nabídce v jiných profilech SSL budete moct zvolit nový certifikát, který jste nahráli v kroku 3.

Další kroky