Tanúsítványok létrehozása a háttérrendszernek az Azure Application Gatewayjel való engedélyezéséhez
A teljes körű TLS végrehajtásához az Application Gateway megköveteli, hogy a háttérpéldányok hitelesítés/megbízható főtanúsítványok feltöltésével engedélyezve legyenek. A v1 termékváltozathoz hitelesítési tanúsítványok szükségesek, a v2 termékváltozat esetében azonban megbízható főtanúsítványokra van szükség a tanúsítványok engedélyezéséhez.
Ebben a cikkben az alábbiakkal ismerkedhet meg:
- Hitelesítési tanúsítvány exportálása háttértanúsítványból (1. verziós termékváltozat esetén)
- Megbízható főtanúsítvány exportálása háttértanúsítványból (v2 termékváltozat esetén)
Előfeltételek
Egy meglévő háttértanúsítványra van szükség a háttérpéldányok Application Gatewayben való engedélyezéséhez szükséges hitelesítési tanúsítványok vagy megbízható főtanúsítványok létrehozásához. A háttértanúsítvány lehet ugyanaz, mint a TLS/SSL-tanúsítvány, vagy más lehet a hozzáadott biztonság érdekében. Az Application Gateway nem biztosít semmilyen mechanizmust TLS/SSL-tanúsítvány létrehozásához vagy megvásárlásához. Tesztelési célokra létrehozhat egy önaláírt tanúsítványt, de éles számítási feladatokhoz nem érdemes használni.
Hitelesítési tanúsítvány exportálása (1. verziós termékváltozat esetén)
Az Application Gateway v1 termékváltozatban a háttérpéldányok engedélyezéséhez hitelesítési tanúsítvány szükséges. A hitelesítési tanúsítvány a háttérkiszolgálói tanúsítványok nyilvános kulcsa a Base-64 kódolású X.509() rendszerben. CER) formátum. Ebben a példában egy TLS/SSL-tanúsítványt fog használni a háttértanúsítványhoz, és exportálja annak nyilvános kulcsát hitelesítési tanúsítványként való használatra. Ebben a példában a Windows Tanúsítványkezelő eszközzel exportálhatja a szükséges tanúsítványokat. Bármilyen más, kényelmes eszközt használhat.
A TLS/SSL-tanúsítványból exportálja a nyilvános kulcs .cer fájlját (nem a titkos kulcsot). Az alábbi lépések segítenek a .cer fájl exportálásában a Base-64 kódolású X.509() rendszerben. TANÚSÍTVÁNY) formátuma a tanúsítványhoz:
A .cer fájl tanúsítványból történő beszerzéséhez nyissa meg a Felhasználói tanúsítványok kezelése elemet. Keresse meg a tanúsítványt általában a "Tanúsítványok – Aktuális felhasználó\Személyes\Tanúsítványok" területen, és kattintson a jobb gombbal. Kattintson a Minden feladat, majd az Exportálás elemre. Megnyílik a Tanúsítványexportáló varázsló. Ha a PowerShell használatával szeretné megnyitni a Tanúsítványkezelőt az aktuális felhasználói hatókörben, írja be a tanúsítványkezelőt a konzolablakba.
Megjegyzés:
Ha nem találja a tanúsítványt az Aktuális felhasználó\Személyes\Tanúsítványok területen, előfordulhat, hogy véletlenül megnyitotta a "Tanúsítványok – Helyi számítógép" lehetőséget a "Tanúsítványok – Aktuális felhasználó" helyett.
A varázslóban kattintson a Tovább gombra.
Válassza a Nem, nem akarom exportálni a titkos kulcsomat lehetőséget, majd kattintson a Tovább gombra.
Az Exportfájlformátum lapon válassza a Base-64 kódolású X.509 (.CER) lehetőséget, majd kattintson a Tovább gombra.
Az exportálandó fájlhoz keresse meg azt a helyet, ahová exportálni szeretné a tanúsítványt. A Fájlnév mezőben nevezze el a tanúsítványfájlt. Ezután kattintson a Tovább gombra.
Kattintson a Befejezés gombra a tanúsítvány exportálásához.
A tanúsítvány exportálása sikeresen megtörtént.
Az exportált tanúsítvány a következőhöz hasonlóan néz ki:
Ha Jegyzettömb használatával nyitja meg az exportált tanúsítványt, a példához hasonlót fog látni. A kék szakasz az Application Gatewaybe feltöltött információkat tartalmazza. Ha Jegyzettömb nyitja meg a tanúsítványt, és az nem hasonlít ehhez, ez általában azt jelenti, hogy nem a Base-64 kódolású X.509() használatával exportálta. CER) formátum. Emellett, ha másik szövegszerkesztőt szeretne használni, ismerje meg, hogy egyes szerkesztők nem kívánt formázást vezethetnek be a háttérben. Ez problémákat okozhat, ha a tanúsítvány szövegét feltölti az Azure-ba.
Megbízható főtanúsítvány exportálása (v2 termékváltozat esetén)
Megbízható főtanúsítvány szükséges az Application Gateway v2 termékváltozat háttérpéldányainak engedélyezéséhez. A főtanúsítvány egy Base-64 kódolású X.509(. CER) formázza a főtanúsítványt a háttérkiszolgáló tanúsítványaiból. Ebben a példában egy TLS/SSL-tanúsítványt használunk a háttértanúsítványhoz, exportáljuk a nyilvános kulcsot, majd exportáljuk a megbízható hitelesítésszolgáltató főtanúsítványát a nyilvános kulcsból base64 kódolású formátumban a megbízható főtanúsítvány lekéréséhez. A köztes tanúsítvány(oka)t kiszolgálótanúsítvánnyal kell csomagolni, és telepíteni kell a háttérkiszolgálóra.
Az alábbi lépések segítenek a tanúsítvány .cer fájljának exportálásában:
A nyilvános kulcs háttértanúsítványból való exportálásához használja az előző szakaszban említett 1–8. lépést a hitelesítési tanúsítvány exportálása (v1 termékváltozat esetén).
A nyilvános kulcs exportálása után nyissa meg a fájlt.
Lépjen a Minősítési útvonal nézetre a hitelesítésszolgáltató megtekintéséhez.
Válassza ki a főtanúsítványt, és kattintson a Tanúsítvány megtekintése elemre.
Meg kell jelennie a főtanúsítvány részleteinek.
Lépjen a Részletek nézetre, és kattintson a Másolás fájlba...
Ekkor kinyerte a főtanúsítvány részleteit a háttértanúsítványból. Megjelenik a Tanúsítványexportáló varázsló. Most használja a fenti háttértanúsítványból (v1 termékváltozathoz) készült hitelesítési tanúsítvány exportálása a Base-64 kódolású X.509() megbízható főtanúsítványának exportálásához a 2–9. lépést. CER) formátum.
Következő lépések
Most már rendelkezik a hitelesítési tanúsítvány/megbízható főtanúsítvány a Base-64 kódolású X.509() verziójában. CER) formátum. Ezt hozzáadhatja az application gatewayhez, hogy lehetővé tegye a háttérkiszolgálók számára a végpontok közötti TLS-titkosítást. Lásd: A teljes körű TLS konfigurálása az Application Gateway és a PowerShell használatával.