Teilen über

Konfigurieren der gegenseitigen Authentifizierung mit dem Anwendungsgateway über das Portal

In diesem Artikel wird beschrieben, wie Sie das Azure-Portal verwenden, um die gegenseitige Authentifizierung auf Ihrem Anwendungsgateway zu konfigurieren. Die gegenseitige Authentifizierung bedeutet, dass das Anwendungsgateway den Client authentifiziert, der die Anforderung mithilfe des Clientzertifikats sendet, das Sie auf das Anwendungsgateway hochladen.

Wenn Sie noch kein Azure-Abonnement haben, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

Bevor Sie anfangen

Um die gegenseitige Authentifizierung mit einem Anwendungsgateway zu konfigurieren, benötigen Sie ein Clientzertifikat zum Hochladen auf das Gateway. Das Clientzertifikat wird verwendet, um das Zertifikat zu überprüfen, das der Client dem Anwendungsgateway darstellt. Zu Testzwecken können Sie ein selbstsigniertes Zertifikat verwenden. Dies wird jedoch nicht für Produktionsworkloads empfohlen, da sie schwieriger zu verwalten sind und nicht vollständig sicher sind.

Weitere Informationen, insbesondere darüber, welche Art von Clientzertifikaten Sie hochladen können, finden Sie unter Übersicht über die gegenseitige Authentifizierung mit dem Anwendungsgateway.

Erstellen eines neuen Anwendungsgateways

Erstellen Sie zuerst ein neues Anwendungsgateway wie normalerweise über das Portal – es sind keine zusätzlichen Schritte in der Erstellung erforderlich, um die gegenseitige Authentifizierung zu ermöglichen. Weitere Informationen zum Erstellen eines Anwendungsgateways im Portal finden Sie in unserem Schnellstart-Lernprogramm für das Portal.

Konfigurieren der gegenseitigen Authentifizierung

Um ein vorhandenes Anwendungsgateway mit gegenseitiger Authentifizierung zu konfigurieren, müssen Sie zuerst zur Registerkarte "SSL-Einstellungen " im Portal wechseln und ein neues SSL-Profil erstellen. Wenn Sie ein SSL-Profil erstellen, werden zwei Registerkarten angezeigt: Clientauthentifizierung und SSL-Richtlinie. Auf der Registerkarte "Clientauthentifizierung " laden Sie Ihre Clientzertifikate hoch. Die Registerkarte "SSL-Richtlinie " besteht darin, eine bestimmte SSL-Richtlinie für Listener zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer listenerspezifischen SSL-Richtlinie.

Von Bedeutung

Achten Sie darauf, dass Sie die gesamte ZS-Clientzertifikatkette in einer Datei und nur eine Kette pro Datei hochladen.

  1. Suchen Sie im Portal nach Anwendungsgateway , wählen Sie Anwendungsgateways aus, und klicken Sie auf Ihr vorhandenes Anwendungsgateway.

  2. Wählen Sie im linken Menü SSL-Einstellungen aus.

  3. Klicken Sie oben auf das Pluszeichen neben SSL-Profilen , um ein neues SSL-Profil zu erstellen.

  4. Geben Sie unter SSL-Profilname einen Namen ein. In diesem Beispiel rufen wir unsere SSL-ProfilanwendungGatewaySSLProfile auf.

  5. Bleiben Sie auf der Registerkarte "Clientauthentifizierung ". Laden Sie das PEM-Zertifikat hoch, das Sie für die gegenseitige Authentifizierung zwischen dem Client und dem Anwendungsgateway verwenden möchten, indem Sie die Schaltfläche "Neues Zertifikat hochladen " verwenden.

    Weitere Informationen darüber, wie man Zertifikatketten von vertrauenswürdigen Clientzertifizierungsstellen extrahieren kann, die hier hochgeladen werden sollen, finden Sie unter Wie man Zertifikatketten von vertrauenswürdigen Clientzertifizierungsstellen extrahiert.

    Hinweis

    Wenn dies nicht Ihr erstes SSL-Profil ist und Sie andere Clientzertifikate in Ihr Anwendungsgateway hochgeladen haben, können Sie über das Dropdownmenü ein vorhandenes Zertifikat auf Ihrem Gateway wiederverwenden.

  6. Aktivieren Sie das Kontrollkästchen DN des Clientzertifikatausstellers verifizieren nur, falls über die Application Gateway-Instanz der Distinguished Name des direkten Clientzertifikatausstellers verifiziert werden soll.

  7. Erwägen Sie das Hinzufügen einer listenerspezifischen Richtlinie. Anweisungen zum Einrichten spezifischer SSL-Richtlinien für Listener finden Sie unter "SSL-Richtlinien für Listener einrichten".

  8. Wählen Sie "Zum Speichern hinzufügen" aus.

    Hinzufügen der Clientauthentifizierung zum SSL-Profil

Ordnen Sie das SSL-Profil einem Listener zu

Nachdem wir nun ein SSL-Profil mit konfigurierter gegenseitiger Authentifizierung erstellt haben, müssen wir das SSL-Profil dem Listener zuordnen, um die Einrichtung der gegenseitigen Authentifizierung abzuschließen.

  1. Navigieren Sie zu Ihrem vorhandenen Anwendungsgateway. Wenn Sie die vorstehenden Schritte gerade abgeschlossen haben, müssen Sie hier nichts tun.

  2. Wählen Sie "Listener" im linken Menü aus.

  3. Klicken Sie auf "Listener hinzufügen" , wenn Sie noch keinen HTTPS-Listener eingerichtet haben. Wenn Sie bereits über einen HTTPS-Listener verfügen, klicken Sie in der Liste darauf.

  4. Füllen Sie den Listenernamen, die Frontend-IP, den Port, das Protokoll und andere HTTPS-Einstellungen aus, um Ihre Anforderungen zu erfüllen.

  5. Aktivieren Sie das Kontrollkästchen SSL-Profil aktivieren , damit Sie auswählen können, welches SSL-Profil dem Listener zugeordnet werden soll.

  6. Wählen Sie das soeben erstellte SSL-Profil aus der Dropdownliste aus. In diesem Beispiel wählen wir das SSL-Profil aus, das wir aus den vorherigen Schritten erstellt haben: applicationGatewaySSLProfile.

  7. Konfigurieren Sie den restlichen Teil des Listeners so, dass er Ihren Anforderungen entspricht.

  8. Klicken Sie auf "Hinzufügen" , um Ihren neuen Listener mit dem ihm zugeordneten SSL-Profil zu speichern.

    Zuordnen eines SSL-Profils zu einem neuen Listener

Erneuern von abgelaufenen Client-CA-Zertifikaten

Falls Ihr Clientzertifizierungsstellenzertifikat abgelaufen ist, können Sie das Zertifikat auf Ihrem Gateway über die folgenden Schritte aktualisieren:

  1. Navigieren Sie zu Ihrem Anwendungsgateway, und wechseln Sie im linken Menü zur Registerkarte "SSL-Einstellungen ".

  2. Wählen Sie das vorhandene SSL-Profil(n) mit dem abgelaufenen Clientzertifikat aus.

  3. Wählen Sie auf der Registerkarte "Clientauthentifizierung" die Option "Neues Zertifikat hochladen" aus, und laden Sie Ihr neues Clientzertifikat hoch.

  4. Wählen Sie das Papierkorbsymbol neben dem abgelaufenen Zertifikat aus. Dadurch wird die Zuordnung dieses Zertifikats aus dem SSL-Profil entfernt.

  5. Wiederholen Sie die oben aufgeführten Schritte 2 bis 4 mit einem anderen SSL-Profil, das dasselbe abgelaufene Clientzertifikat verwendet hat. Sie können das neue Zertifikat, das Sie in Schritt 3 hochgeladen haben, aus dem Dropdownmenü in anderen SSL-Profilen auswählen.

Nächste Schritte

  • Last updated on