Konfigurace back-endových fondů pro šifrování

  • 10 min

Back-endový fond obsahuje servery, které implementují příslušnou aplikaci. Azure Application Gateway směruje požadavky na tyto servery a může vyrovnávat zatížení provozu napříč těmito servery.

Aplikační servery v back-endovém fondu na expedičním portálu musí pomocí SSL zašifrovat data, která se předávají mezi Application Gateway a těmito servery v back-endovém fondu. Application Gateway používá k zašifrování dat certifikát SSL s veřejným klíčem. Servery používají k dešifrování dat po jejich přijetí odpovídající privátní klíč. V této lekci se dozvíte, jak vytvořit back-endový fond a nainstalovat potřebné certifikáty ve službě Application Gateway. Tyto certifikáty pomáhají chránit zprávy odeslané do a z back-endového fondu.

Šifrování z Application Gateway do back-endového fondu

Back-endový fond může odkazovat na jednotlivé virtuální počítače, škálovací sadu virtuálních počítačů, IP adresy skutečných počítačů (místních nebo spouštěných vzdáleně) nebo služby hostované prostřednictvím Azure App Service. Všechny servery v back-endovém fondu by měly být nakonfigurovány stejným způsobem, včetně jejich nastavení zabezpečení.

Diagram showing how Application Gateway routes a request to a web server.

Pokud je provoz směrovaný do back-endového fondu chráněn pomocí SSL, musí každý server v tomto back-endovém fondu mít vhodný certifikát. Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem. V produkčním prostředí byste měli vždy vygenerovat nebo zakoupit certifikát, který může ověřit certifikační autorita (CA).

V současné době jsou k dispozici dvě verze Application Gateway: v1 a v2. Mají podobné možnosti, ale mají mírně odlišné podrobnosti implementace. Verze v2 poskytuje další funkce a vylepšení výkonu.

Konfigurace certifikátu v Application Gateway v1

Application Gateway v1 vyžaduje, abyste v konfiguraci brány nainstalovali ověřovací certifikát. Tento certifikát obsahuje veřejný klíč, který služba Application Gateway používá k šifrování zpráv a ověřování vašich serverů. Tento certifikát si můžete vytvořit tak, že ho vyexportujete ze serveru. Aplikační server používá k dešifrování těchto zpráv odpovídající privátní klíč. Tento privátní klíč by měl být uložený jenom na vašich aplikačních serverech.

Ověřovací certifikát můžete do Application Gateway přidat pomocí příkazu az network application-gateway auth-cert create z Azure CLI. Následující příklad znázorňuje syntaxi tohoto příkazu. Certifikát by měl být ve formátu CER.

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway poskytuje další příkazy, které můžete použít k výpisu a správě ověřovacích certifikátů. Příklad:

  • Například příkaz az network application-gateway auth-cert list zobrazí nainstalované certifikáty.
  • Certifikát můžete změnit pomocí az network application-gateway auth-cert update příkazu.
  • Příkaz az network application-gateway auth-cert delete certifikát odebere.

Konfigurace certifikátu v Application Gateway v2

Application Gateway v2 má mírně odlišné požadavky na ověřování. Použijete certifikát pro certifikační autoritu, která ověřila certifikát SSL pro servery v back-endovém fondu. Tento certifikát přidáte do Application Gateway jako důvěryhodný kořenový certifikát. Použijte příkaz az network application-gateway root-cert create z Azure CLI.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Pokud vaše servery používají certifikát podepsaný svým držitelem, přidejte tento certifikát do Application Gateway jako důvěryhodný kořenový certifikát.

Nastavení HTTP

Application Gateway pomocí pravidla určuje, jak směrovat zprávy, které přijímá na svém příchozím portu, na servery v back-endovém fondu. Pokud servery používají SSL, je nutné nakonfigurovat pravidlo, které indikuje:

  • Servery očekávají provoz přes protokol HTTPS.
  • který certifikát se má použít k zašifrování provozu a ověření připojení k serveru.

Tyto konfigurační informace můžete definovat pomocí nastavení HTTP.

Nastavení HTTP můžete definovat pomocí az network application-gateway http-settings create příkazu v Azure CLI. Následující příklad znázorňuje syntaxi pro vytvoření nastavení, které směruje provoz používající protokol HTTPS na port 443 na serverech v back-endovém fondu. Pokud používáte Application Gateway v1, pak parametr --auth-certs je název ověřovacího certifikátu, který jste do Application Gateway přidali dříve.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Pokud používáte Application Gateway v2, vynechejte parametr --auth-certs. Služba Application Gateway kontaktuje back-endový server. Ověří pravost certifikátu předloženého tímto serverem porovnáním s certifikačními autoritami určenými v seznamu důvěryhodných kořenových certifikátů. Pokud se nenajde shoda, Application Gateway se k back-endovému serveru nepřipojí a zobrazí se chyba HTTP 502 (chybná brána).