Háttérkészletek konfigurálása titkosításhoz

  • 10 perc

A háttérkészlet az alkalmazást megvalósító kiszolgálókat tartalmazza. Az Azure Application Gateway a kérelmeket ezekhez a kiszolgálókhoz irányítja, és terheléselosztást is képes végrehajtani a kiszolgálók között.

A szállítási portálon a háttérkészlet alkalmazáskiszolgálóinak SSL-lel kell titkosítaniuk az adatokat, amelyek áthaladnak az Application Gateway és a háttérkészlet kiszolgálói között. Az Application Gateway egy nyilvános kulcsot alkalmazó SSL-tanúsítványt használ az adatok titkosítására. A kiszolgálók a megfelelő titkos kulccsal fejtik vissza az adatokat, amint azokat megkapják. Ebben a leckében megtudhatja, hogyan hozhatja létre a háttérkészletet, és hogyan telepítheti a szükséges tanúsítványokat az Application Gatewayben. Ezek a tanúsítványok segítenek megvédeni a háttérkészletbe és a háttérkészletből küldött üzeneteket.

Titkosítás az Application Gatewayből a háttérkészletbe irányulóan

A háttérkészlet hivatkozhat egyes virtuális gépekre, egy virtuálisgép-méretezési csoportra, valódi számítógépek IP-címeire (akár a helyszínen, akár távolról futókra), vagy az Azure App Service-ben üzemeltetett szolgáltatásokra is. A háttérkészletben ugyanúgy kell konfigurálni a kiszolgálók mindegyikét, beleértve a biztonsági beállításokat is.

Diagram showing how Application Gateway routes a request to a web server.

Ha a háttérkészletbe irányított forgalmat SSL használatával védi, akkor a háttérkészlet minden kiszolgálójának megfelelő tanúsítvánnyal kell rendelkeznie. Teszteléshez létrehozhat önaláírt tanúsítványt is. Éles környezetben mindig olyan tanúsítványt kell létrehoznia vagy vásárolnia, amelyet egy hitelesítésszolgáltató (CA) hitelesíteni tud.

Az Application Gateway jelenleg két verzióban érhető el: v1 és v2 verzió. Hasonló képességekkel rendelkeznek, de a megvalósítás részletei kissé eltérőek. A v2-es verzió további funkciókat és teljesítménybeli fejlesztéseket biztosít.

Tanúsítvány konfigurálása az Application Gateway v1-ben

Az Application Gateway v1 megköveteli, hogy a kiszolgálók hitelesítési tanúsítványát telepítse az átjáró konfigurációjában. Ez a tanúsítvány tartalmazza az Application Gateway által az üzenetek titkosításához és a kiszolgálók hitelesítéséhez használt nyilvános kulcsot. Ezt a tanúsítványt létrehozhatja úgy, ha exportálja azt a kiszolgálóról. Az alkalmazáskiszolgáló az ennek megfelelő titkos kulcsot használja az üzenetek visszafejtéséhez. Ezt a titkos kulcsot csak az alkalmazáskiszolgálókon szabad tárolni.

Az Application Gatewayhez a hitelesítési tanúsítványt az Azure CLI az network application-gateway auth-cert create parancsának használatával adhatja hozzá. Az alábbi példa a parancs szintaxisát szemlélteti. A tanúsítványnak CER (Claim, Evidence, and Reasoning) formátumban kell lennie.

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Az Application Gateway más parancsokat is biztosít a hitelesítési tanúsítványok listázásához és kezeléséhez. Példa:

  • Az az network application-gateway auth-cert list parancs a telepített tanúsítványokat jeleníti meg.
  • A parancs használatával az network application-gateway auth-cert update módosíthatja a tanúsítványt.
  • Az az network application-gateway auth-cert delete parancs eltávolít egy tanúsítványt.

Tanúsítvány konfigurálása az Application Gateway v2-ben

Az Application Gateway v2 kissé eltérő követelményekkel rendelkezik a hitelesítéshez. Önnek kell megadnia a tanúsítványt ahhoz a hitelesítésszolgáltatóhoz, amely hitelesítette a háttérkészlet kiszolgálóihoz az SSL-tanúsítványt. Ezt a tanúsítványt megbízható legfelső szintű tanúsítványként kell hozzáadnia az Application Gatewayhez. Ehhez használja az Azure CLI az network application-gateway root-cert create parancsát.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Ha a kiszolgálói önaláírt tanúsítványt használnak, adja hozzá ezt a tanúsítványt megbízható legfelső szintű tanúsítványként az Application Gatewayhez.

HTTP-beállítások

Az Application Gateway egy szabály használatával határozza meg, hogyan irányíthatja a bejövő portján érkező üzeneteket a háttérkészlet kiszolgálóira. Ha a kiszolgálók SSL-t használnak, a szabályba bele kell foglalnia a következő szempontokat:

  • A kiszolgálók a HTTPS protokollon keresztüli forgalmat várják.
  • A forgalom titkosításához és a kiszolgáló kapcsolatának hitelesítéséhez használandó tanúsítvány.

Ezt a konfigurációt egy HTTP-beállítás használatával definiálhatja.

HTTP-beállítást az az network application-gateway http-settings create Azure CLI-ben található paranccsal határozhat meg. Az alábbi példában azt a szintaxist mutatjuk be, amellyel létrehozható a beállítás, amely a forgalmat HTTPS-protokoll használatával a háttérkészlet kiszolgálóin a 443-as portra irányítja. Ha az Application Gateway v1-et használja, akkor az --auth-certs paraméterben van megadva annak a hitelesítési tanúsítványnak a neve, amelyet korábban hozzáadott az Application Gatewayhez.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Ha az Application Gateway v2-t használja, akkor hagyja ki a(z) --auth-certs paramétert. Az Application Gateway kapcsolatba lép a háttérkiszolgálóval. A kiszolgáló által küldött tanúsítvány hitelességét a megbízható legfelső szintű tanúsítványok listájában megadott hitelesítésszolgáltatók használatával ellenőrzi. Ha nem talál egyezést, akkor az Application Gateway nem fog csatlakozni a háttérkiszolgálóhoz, és HTTP 502-es (Rossz átjáró) hibaüzenettel sikertelen lesz a művelet.