Gyakorlat – Háttérkészletek konfigurálása titkosításhoz

  • 30 perc

A szállítási portál alkalmazás végpontok közötti titkosítását szeretné implementálni. A felhasználók és kiszolgálók közötti összes adat titkosításával biztosítható, hogy illetéktelen felhasználó ne tudja elfogni és elolvasni az adatokat.

Ebben a leckében beállítja a webalkalmazást és az Application Gatewayt. Ezután létre fog hozni önaláírt SSL-tanúsítványokat, és engedélyezni fogja a titkosítást a háttérkészletben, hogy biztonságossá tegye az Application Gateway és a kiszolgálók közötti forgalmat.

Az alábbi kép a gyakorlatban konfigurált elemeket emeli ki. Alkalmazásátjárót állít be a Azure-alkalmazás Gateway 2- s verzióval.

Diagram that highlights the elements (backend pool, SSL certificate, and HTTP settings) created in this exercise.

Virtuális gép és egy Application Gateway üzembe helyezése

  1. Nyissa meg az Azure Cloud Shellt a böngészőben, és jelentkezzen be a címtárba ahhoz az előfizetéshez való hozzáféréssel, amelyben erőforrásokat szeretne létrehozni. Ehhez a gyakorlathoz a Bash shell-környezetet fogjuk használni.

  2. Futtassa az alábbi parancsot a Cloud Shellben az erőforrások erőforráscsoportjának létrehozásához. Cserélje le <resource group name> az erőforráscsoport nevét, valamint <location> azt az Azure-régiót, amelyben üzembe szeretné helyezni az erőforrásokat.

    az group create --resource-group <resource group name> --location <location>

  3. Futtassa a következő parancsot a Cloud Shellben egy változó létrehozásához az erőforráscsoport nevének tárolásához:

    export rgName=<resource group name>

  4. Az Azure Cloud Shellben futtassa a következő parancsot a szállítási portál forráskódjának letöltéséhez:

    git clone https://github.com/MicrosoftDocs/mslearn-end-to-end-encryption-with-app-gateway shippingportal

  5. Ugrás a shippingportal mappára:

    cd shippingportal

  6. Futtassa a következő telepítőszkriptet a virtuális gép, a tanúsítványok és az Application Gateway létrehozásához:

    bash setup-infra.sh

    Feljegyzés

    A szkript végrehajtása több percet vesz igénybe. Lehetővé teszi, hogy több folyamaton keresztül működjön az átjáró és az erőforrások kicsomagolásához és konfigurálásához. Látnia kell, hogy a folyamat sikeres volt nulla figyelmeztetéssel és nulla hibával.

Ellenőrizze, hogy a webkiszolgáló helyesen van-e konfigurálva

  1. Az alábbi parancs futtatásával jelenítse meg a telepítési parancsfájl által létrehozott webkiszolgáló URL-címét.

    echo https://"$(az vm show \
  --name webservervm1 \
  --resource-group $rgName \
  --show-details \
  --query [publicIps] \
  --output tsv)"

  2. Másolja és illessze be az URL-címet a webböngészőbe, és nyissa meg az URL-címet.

    A böngésző valószínűleg az alábbi képhez hasonló figyelmeztető üzenetet jelenít meg. A figyelmeztető üzenet pontos tartalma a böngészőtől függően változhat. A példakép a Microsoft Edge-ből származik.

    Screenshot of a warning about an unauthenticated server in Microsoft Edge.

    Ez a figyelmeztetés azért jelenik meg, mert a webkiszolgálót önaláírt tanúsítvány használatával konfigurálta, amelyet nem lehet hitelesíteni. Ezen a figyelmeztető oldalon keresse meg és válassza ki a webhelyre mutató hivatkozást; például válassza a Ugrás a weblapra lehetőséget, vagy válassza a Speciális , majd a Folytatás vagy az azzal egyenértékű lehetőséget. Az eredmény a szállítási portál kezdőlapjára viszi, ahogy az az alábbi képen is látható. Ez egy mintaalkalmazás, amely ellenőrzi, hogy a kiszolgáló megfelelően van-e konfigurálva.

    Screenshot of the shipping portal home page Microsoft Edge.

A háttérkészlet konfigurálása titkosításhoz

  1. Az alábbi parancs futtatásával lekérheti a webkiszolgálóként funkcionáló virtuális gép IP-címét.

    echo privateip="$(az vm list-ip-addresses \
  --resource-group $rgName \
  --name webservervm1 \
  --query "[0].virtualMachine.network.privateIpAddresses[0]" \
  --output tsv)"

  2. Hozzon létre egy változót a privát IP-cím tárolásához. Cserélje le <privateIP> az előző lépés IP-címére.

    export privateip=<privateIP>

  3. Állítsa be az Application Gateway háttérkészletét a virtuális gép privát IP-címével.

    az network application-gateway address-pool create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name ap-backend \
  --servers $privateip

  4. Töltse fel a virtuálisgép-tanúsítványt a háttérkészletben az Application Gatewaybe megbízható főtanúsítványként. A beállítási szkript létrehozta ezt a tanúsítványt, és a shipping-ssl.crt fájlban tárolta.

    az network application-gateway root-cert create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name shipping-root-cert \
  --cert-file server-config/shipping-ssl.crt

  5. Konfigurálja a HTTP-beállításokat a tanúsítvány használatára:

    az network application-gateway http-settings create \
  --resource-group $rgName \
  --gateway-name gw-shipping \
  --name https-settings \
  --port 443 \
  --protocol Https \
  --host-name $privateip

  6. Futtassa az alábbi parancsokat a háttérkészlet megbízható tanúsítványának a háttérbeli virtuális gépen telepített tanúsítványra való beállításához:

    export rgID="$(az group show --name $rgName --query id --output tsv)"

az network application-gateway http-settings update \
    --resource-group $rgName \
    --gateway-name gw-shipping \
    --name https-settings \
    --set trustedRootCertificates='[{"id": "'$rgID'/providers/Microsoft.Network/applicationGateways/gw-shipping/trustedRootCertificates/shipping-root-cert"}]'

Most már rendelkezik egy virtuális géppel a szállítási portál webhelyén, és egy Application Gatewayjel. Konfigurálta az SSL-titkosítást az alkalmazáskiszolgáló és az Application Gateway között.