Prodloužení platnosti certifikátů služby Application Gateway
V určitém okamžiku budete muset obnovit certifikáty, pokud jste nakonfigurovali aplikační bránu pro šifrování TLS/SSL.
Existují dvě umístění: certifikáty uložené ve službě Azure Key Vault nebo certifikáty nahrané do aplikační brány.
Certifikáty ve službě Azure Key Vault
Pokud je služba Application Gateway nakonfigurovaná tak, aby používala certifikáty služby Key Vault, její instance načtou certifikát ze služby Key Vault a nainstalují je místně pro ukončení protokolu TLS. Instance se dotazují služby Key Vault ve čtyřhodinovém intervalu, aby načetly obnovenou verzi certifikátu, pokud existuje. Pokud se najde aktualizovaný certifikát, certifikát TLS/SSL, který je aktuálně přidružený k naslouchacímu procesu HTTPS, se automaticky otočí.
Tip
Jakákoli změna služby Application Gateway vynutí kontrolu služby Key Vault a zjistí, jestli jsou k dispozici nějaké nové verze certifikátů. To zahrnuje změny konfigurace IP adres front-endu, naslouchací procesy, pravidla, back-endové fondy, značky prostředků a další. Pokud se najde aktualizovaný certifikát, zobrazí se nový certifikát okamžitě.
Application Gateway používá k odkazům na certifikáty identifikátor tajného kódu ve službě Key Vault. Pro Azure PowerShell, Azure CLI nebo Azure Resource Manager důrazně doporučujeme použít tajný identifikátor, který neurčí verzi. Díky tomu služba Application Gateway certifikát automaticky otočí, pokud je ve vašem trezoru klíčů dostupná novější verze. Příkladem tajného identifikátoru URI bez verze je https://myvault.vault.azure.net/secrets/mysecret/.
Certifikáty ve službě Application Gateway
Application Gateway podporuje nahrávání certifikátů bez nutnosti konfigurace služby Azure Key Vault. K obnovení nahraných certifikátů použijte následující postup pro Azure Portal, Azure PowerShell nebo Azure CLI.
portál Azure
Pokud chcete obnovit certifikát naslouchacího procesu z portálu, přejděte k naslouchacím procesům služby Application Gateway. Vyberte naslouchací proces, který má certifikát, který je potřeba obnovit, a pak vyberte Obnovit nebo upravit vybraný certifikát.
Nahrajte nový certifikát PFX, pojmenujte ho, zadejte heslo a pak vyberte Uložit.
Azure PowerShell
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Pokud chcete obnovit certifikát pomocí Azure PowerShellu, použijte následující skript:
$appgw = Get-AzApplicationGateway `
-ResourceGroupName <ResourceGroup> `
-Name <AppGatewayName>
$password = ConvertTo-SecureString `
-String "<password>" `
-Force `
-AsPlainText
set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password
Set-AzApplicationGateway -ApplicationGateway $appgw
Azure CLI
az network application-gateway ssl-cert update \
-n "<CertName>" \
--gateway-name "<AppGatewayName>" \
-g "ResourceGroupName>" \
--cert-file <PathToCerFile> \
--cert-password "<password>"
Další kroky
Informace o tom, jak nakonfigurovat přesměrování zpracování PROTOKOLU TLS pomocí brány Aplikace Azure, najdete v tématu Konfigurace přesměrování zpracování PROTOKOLU TLS.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro