Teilen über

Erstellen von Zertifikaten, um das Back-End mit dem Azure-Anwendungsgateway zuzulassen

Zum Implementieren von End-to-End-TLS erfordert das Anwendungsgateway, dass die Backend-Instanzen durch Hochladen von Authentifizierungs- oder vertrauenswürdigen Stammzertifikaten zugelassen werden. Für die V1-SKU sind Authentifizierungszertifikate erforderlich, aber für die v2-SKU sind vertrauenswürdige Stammzertifikate erforderlich, um die Zertifikate zuzulassen.

In diesem Artikel erfahren Sie, wie Sie:

  • Exportieren eines Authentifizierungszertifikats aus einem Back-End-Zertifikat (für v1 SKU)
  • Exportieren eines vertrauenswürdigen Stammzertifikats aus einem Back-End-Zertifikat (für v2-SKU)

Voraussetzungen

Ein vorhandenes Back-End-Zertifikat ist erforderlich, um die Authentifizierungszertifikate oder vertrauenswürdige Stammzertifikate zu generieren, die erforderlich sind, um Back-End-Instanzen mit Dem Anwendungsgateway zuzulassen. Das Back-End-Zertifikat kann mit dem TLS/SSL-Zertifikat identisch sein oder für zusätzliche Sicherheit unterschiedlich sein. Das Anwendungsgateway bietet Ihnen keinen Mechanismus zum Erstellen oder Erwerben eines TLS/SSL-Zertifikats. Zu Testzwecken können Sie ein selbstsigniertes Zertifikat erstellen, sollten es jedoch nicht für Produktionsworkloads verwenden.

Exportieren des Authentifizierungszertifikats (für v1 SKU)

Ein Authentifizierungszertifikat ist erforderlich, um Back-End-Instanzen in Application Gateway v1 SKU zuzulassen. Das Authentifizierungszertifikat ist der öffentliche Schlüssel von Back-End-Serverzertifikaten in Base-64-codierten X.509(). CER)-Format. In diesem Beispiel verwenden Sie ein TLS/SSL-Zertifikat für das Back-End-Zertifikat und exportieren den öffentlichen Schlüssel, der als Authentifizierungszertifizierung verwendet werden soll. Außerdem verwenden Sie in diesem Beispiel das Windows-Zertifikat-Manager-Tool, um die erforderlichen Zertifikate zu exportieren. Sie können ein beliebiges anderes Tool verwenden, das praktisch ist.

Exportieren Sie aus Ihrem TLS/SSL-Zertifikat den öffentlichen Schlüssel .cer Datei (nicht den privaten Schlüssel). Die folgenden Schritte helfen Ihnen, die .cer-Datei im Base-64-codiertem X.509(.CER)-Format für Ihr Zertifikat aus zu exportieren.

  1. Um eine .cer Datei aus dem Zertifikat abzurufen, öffnen Sie "Benutzerzertifikate verwalten". Suchen Sie das Zertifikat (in der Regel in "Zertifikate - Aktueller Benutzer\Persönliche\Zertifikate"), und klicken Sie mit der rechten Maustaste. Klicken Sie auf "Alle Vorgänge", und klicken Sie dann auf "Exportieren". Dadurch wird der Zertifikatexport-Assistent geöffnet. Wenn Sie den Zertifikat-Manager mithilfe von PowerShell im aktuellen Benutzerbereich öffnen möchten, geben Sie "certmgr " in das Konsolenfenster ein.

    Hinweis

    Wenn Sie das Zertifikat unter "Aktueller Benutzer\Persönlich\Zertifikate" nicht finden können, haben Sie möglicherweise versehentlich "Zertifikate - Lokaler Computer" statt "Zertifikate - Aktueller Benutzer" geöffnet.

    Screenshot zeigt den Zertifikat-Manager mit ausgewählten Zertifikaten und einem Kontextmenü mit allen Aufgaben, und dann

  2. Klicken Sie im Assistenten auf "Weiter".

    Exportieren eines Zertifikats

  3. Wählen Sie "Nein" aus, exportieren Sie den privaten Schlüssel nicht, und klicken Sie dann auf "Weiter".

    Den privaten Schlüssel nicht exportieren

  4. Wählen Sie auf der Seite " Dateiformat exportieren " die Base64-codierte X.509 (. CER)., und klicken Sie dann auf Weiter.

    Base64-codiert

  5. Navigieren Siezum Exportieren von Dateien zu dem Speicherort, an den Sie das Zertifikat exportieren möchten. Benennen Sie für den Dateinamen die Zertifikatdatei. Klicken Sie dann auf "Weiter".

    Screenshot des Zertifikatexport-Assistenten, in dem Sie eine zu exportierende Datei angeben.

  6. Klicken Sie auf "Fertig stellen ", um das Zertifikat zu exportieren.

    Screenshot des Zertifikatexport-Assistenten nach Abschluss des Dateiexports.

  7. Ihr Zertifikat wurde erfolgreich exportiert.

    Screenshot des Zertifikatexport-Assistenten mit einer Erfolgsmeldung.

    Das exportierte Zertifikat sieht ähnlich wie folgt aus:

    Screenshot eines Zertifikatsymbols.

  8. Wenn Sie das exportierte Zertifikat mit dem Editor öffnen, wird Etwas Ähnliches wie diesem Beispiel angezeigt. Der Abschnitt in Blau enthält die Informationen, die in das Anwendungsgateway hochgeladen werden. Wenn Sie Ihr Zertifikat mit dem Editor öffnen und es sieht nicht so aus, wie es sollte, bedeutet das normalerweise, dass Sie es nicht im Base-64-codierten X.509 (.CER)-Format exportiert haben. Wenn Sie einen anderen Texteditor verwenden möchten, sollten Sie außerdem wissen, dass einige Editoren unbeabsichtigte Formatierungen im Hintergrund einführen können. Dies kann Probleme verursachen, wenn der Text aus diesem Zertifikat in Azure hochgeladen wurde.

    Mit Editor (Notepad) öffnen

Exportieren eines vertrauenswürdigen Stammzertifikats (für v2-SKU)

Das vertrauenswürdige Stammzertifikat ist erforderlich, um Back-End-Instanzen in Anwendungsgateway v2-SKU zuzulassen. Das Stammzertifikat ist ein Base-64-codiertes X.509(.CER)-Format-Stammzertifikat aus der Sammlung der Back-End-Serverzertifikate. In diesem Beispiel verwenden wir ein TLS/SSL-Zertifikat für das Back-End-Zertifikat, exportieren den öffentlichen Schlüssel und exportieren dann das Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle aus dem öffentlichen Schlüssel im base64-codierten Format, um das vertrauenswürdige Stammzertifikat abzurufen. Die Zwischenzertifikate sollten mit Dem Serverzertifikat gebündelt und auf dem Back-End-Server installiert werden.

Die folgenden Schritte helfen Ihnen beim Exportieren der .cer Datei für Ihr Zertifikat:

  1. Führen Sie die schritte 1 - 8 aus, die im vorherigen Abschnitt " Export authentication certificate (for v1 SKU) " erwähnt wurden, um den öffentlichen Schlüssel aus Ihrem Back-End-Zertifikat zu exportieren.

  2. Nachdem der öffentliche Schlüssel exportiert wurde, öffnen Sie die Datei.

    Öffnen des Autorisierungszertifikats

    informationen zum Zertifikat

  3. Wechseln Sie zur Ansicht "Zertifizierungspfad", um die Zertifizierungsstelle anzuzeigen.

    Zertifikatdetails

  4. Wählen Sie das Stammzertifikat aus, und klicken Sie auf "Zertifikat anzeigen".

    Zertifikatpfad

    Die Details des Stammzertifikats sollten angezeigt werden.

    Cert-Informationen

  5. Zur Detailansicht wechseln und auf "In Datei kopieren" klicken...

    Stammzertifikat kopieren

  6. Zu diesem Zeitpunkt haben Sie die Details des Stammzertifikats aus dem Back-End-Zertifikat extrahiert. Der Zertifikatexport-Assistent wird angezeigt. Führen Sie nun die im vorherigen Abschnitt Exportieren des Authentifizierungszertifikats aus einem Backend-Zertifikat (für v1 SKU) erwähnten Schritte 2-9 aus, um das vertrauenswürdige Stammzertifikat im Base-64-codierten X.509 (.CER)-Format zu exportieren.

Nächste Schritte

Jetzt verfügen Sie über das Authentifizierungszertifikat/das vertrauenswürdige Stammzertifikat in Base-64-codiertem X.509(). CER)-Format. Sie können dies dem Anwendungsgateway hinzufügen, damit Ihre Back-End-Server für die End-to-End TLS-Verschlüsselung genutzt werden können. Siehe Konfigurieren des End-to-End-TLS mithilfe des Anwendungsgateways mit PowerShell.

  • Last updated on