Renouveler des certificats Application Gateway

À un moment donné, vous devrez renouveler vos certificats si vous avez configuré votre passerelle Application Gateway pour le chiffrement TLS/SSL.

Les certificats peuvent exister au sein de deux emplacements : les certificats stockés dans Azure Key Vault ou les certificats chargés vers une passerelle applicative.

Certificats sur Azure Key Vault

Lorsqu’Application Gateway est configurée pour utiliser des certificats Key Vault, ses instances récupèrent le certificat dans Key Vault et l’installent localement pour l’arrêt TLS. Les instances interrogent Key Vault à des intervalles de quatre heures pour récupérer une version renouvelée du certificat, le cas échéant. Si un certificat mis à jour est trouvé, le certificat TLS/SSL associé à l'écouteur HTTPS est automatiquement remplacé.

Conseil

Toute modification apportée à Application Gateway force une vérification par rapport à Key Vault pour voir si de nouvelles versions de certificats sont disponibles. Cela comprend, sans s’y limiter, les modifications apportées aux configurations IP front-end, aux écouteurs, aux règles, aux pools de back-ends, aux étiquettes de ressources, etc. Si un certificat mis à jour est trouvé, le nouveau certificat est immédiatement présenté.

Dans Key Vault, Application Gateway utilise un identificateur de secret pour référencer les certificats. Pour Azure PowerShell, Azure CLI ou Azure Resource Manager, nous vous recommandons vivement d’utiliser un identificateur de secret qui ne spécifie pas de version. Ainsi, Application Gateway effectue automatiquement une rotation du certificat, si une version plus récente est disponible dans votre coffre de clés. Voici un exemple d’URI de secret sans version : https://myvault.vault.azure.net/secrets/mysecret/.

Certificats sur une passerelle applicative

Application Gateway prend en charge le chargement de certificats sans qu’il soit nécessaire de configurer Azure Key Vault. Pour renouveler les certificats chargés, procédez comme suit pour le Portail Azure, Azure PowerShell ou Azure CLI.

Portail Azure

Pour renouveler un certificat d’écouteur à partir du portail, accédez à vos écouteurs Application Gateway. Sélectionnez l’écouteur dont le certificat doit être renouvelé, puis Renouveler ou modifier le certificat sélectionné.

Chargez votre nouveau certificat PFX, donnez-lui un nom, tapez le mot de passe, puis sélectionnez Enregistrer.

Azure PowerShell

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Pour renouveler votre certificat à l’aide d’Azure PowerShell, utilisez le script suivant :

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Étapes suivantes

Pour découvrir comment configurer le déchargement TLS avec Azure Application Gateway, consultez Configurer le déchargement TLS.