Penghentian TLS dengan sertifikat Key Vault

Penting

Mulai 31 Agustus 2025, semua klien dan server backend yang berinteraksi dengan Azure Application Gateway harus menggunakan Keamanan Lapisan Transportasi (TLS) 1.2 atau yang lebih tinggi, karena dukungan untuk TLS 1.0 dan 1.1 akan dihentikan.

Azure Key Vault adalah penyimpanan rahasia yang dikelola platform yang bisa Anda gunakan untuk melindungi rahasia, kunci, dan sertifikat TLS/SSL. Azure Application Gateway mendukung integrasi dengan Key Vault untuk sertifikat server yang terpasang pada listener yang diaktifkan HTTPS. Dukungan ini terbatas pada SKU v2 Application Gateway.

Application Gateway menawarkan dua model untuk penghentian TLS:

  • Berikan sertifikat TLS/SSL yang dilampirkan ke pendengar. Model ini adalah cara tradisional untuk meneruskan sertifikat TLS/SSL ke Application Gateway untuk penghentian TLS.
  • Berikan referensi ke sertifikat atau rahasia Key Vault yang ada saat Anda membuat pendengar berkemampuan HTTPS.

Integrasi Application Gateway dengan Key Vault menawarkan banyak manfaat, termasuk:

  • Keamanan yang lebih kuat, karena sertifikat TLS/SSL tidak ditangani langsung oleh tim pengembangan aplikasi. Integrasi memungkinkan tim keamanan terpisah untuk:
    • Siapkan gerbang aplikasi.
    • Mengontrol siklus hidup gateway aplikasi.
    • Berikan izin ke gateway aplikasi yang dipilih untuk mengakses sertifikat yang disimpan di Key Vault Anda.
  • Dukungan untuk mengimpor sertifikat yang ada ke Key Vault Anda. Atau gunakan API Key Vault untuk membuat dan mengelola sertifikat baru dengan salah satu mitra Key Vault tepercaya.
  • Dukungan untuk perpanjangan sertifikat otomatis yang disimpan di Key Vault Anda.

Sertifikat yang didukung

Application Gateway saat ini hanya mendukung sertifikat yang divalidasi perangkat lunak. Sertifikat yang divalidasi modul keamanan perangkat keras (HSM) tidak didukung.

Setelah Application Gateway dikonfigurasi untuk menggunakan sertifikat Key Vault, instansnya mengambil sertifikat dari Key Vault dan menginstalnya secara lokal untuk penghentian TLS. Instans tersebut memeriksa Key Vault setiap empat jam untuk mengambil versi sertifikat yang telah diperbarui, jika tersedia. Jika sertifikat yang diperbarui ditemukan, sertifikat TLS/SSL yang terkait dengan pendengar HTTPS secara otomatis diputar.

Petunjuk / Saran

Setiap perubahan pada Application Gateway memaksa pemeriksaan terhadap Key Vault untuk melihat apakah ada versi sertifikat baru yang tersedia. Ini termasuk, tetapi tidak terbatas pada, perubahan pada Konfigurasi IP Frontend, Pendengar, Aturan, Kumpulan Backend, Tag Sumber Daya, dan banyak lagi. Jika sertifikat yang diperbarui ditemukan, sertifikat baru segera disajikan.

Application Gateway menggunakan pengenal rahasia di Key Vault untuk mereferensikan sertifikat. Untuk Azure PowerShell, CLI Azure, atau Azure Resource Manager, kami sangat menyarankan Anda menggunakan pengidentifikasi rahasia yang tidak menentukan sebuah versi. Dengan cara ini, Application Gateway secara otomatis memutar sertifikat jika versi yang lebih baru tersedia di Key Vault Anda. Contoh URI rahasia tanpa versi adalah https://myvault.vault.azure.net/secrets/mysecret/. Anda dapat merujuk ke langkah-langkah PowerShell yang disediakan di bagian berikut.

Portal Microsoft Azure hanya mendukung sertifikat Key Vault, bukan rahasia. Application Gateway masih mendukung referensi rahasia dari Key Vault, tetapi hanya melalui sumber daya non-portal seperti PowerShell, Azure CLI, API, dan templat Azure Resource Manager (templat ARM). Sertifikat Key Vault harus memiliki kunci privat yang dapat diekspor agar Application Gateway dapat menggunakannya.

Referensi ke Key Vault di langganan Azure lainnya didukung, tetapi harus dikonfigurasi melalui Templat ARM, Azure PowerShell, CLI, Bicep, dll. Konfigurasi brankas kunci lintas langganan tidak didukung oleh Application Gateway melalui portal Microsoft Azure saat ini.

Pengaturan sertifikat di Key Vault

Untuk penghentian TLS, Application Gateway hanya mendukung sertifikat dalam format Pertukaran Informasi Pribadi (PFX). Anda dapat mengimpor sertifikat yang sudah ada atau membuat sertifikat baru di Key Vault Anda. Untuk menghindari kegagalan, pastikan bahwa status sertifikat diatur ke Diaktifkan di Key Vault.

Cara kerja integrasi

Integrasi Application Gateway dengan Key Vault adalah proses konfigurasi tiga langkah:

Diagram yang memperlihatkan tiga langkah untuk mengintegrasikan Application Gateway dengan Key Vault.

Nota

Integrasi Azure Application Gateway dengan Key Vault mendukung kebijakan akses Vault dan model izin kontrol akses berbasis peran Azure.

Mendapatkan identitas terkelola yang ditetapkan oleh pengguna

Application Gateway menggunakan identitas terkelola untuk mengambil sertifikat dari Key Vault atas nama Anda.

Anda dapat membuat identitas terkelola baru yang ditetapkan pengguna atau menggunakan kembali yang sudah ada dengan integrasi. Untuk membuat identitas terkelola baru yang ditetapkan pengguna, lihat Membuat identitas terkelola yang ditetapkan pengguna menggunakan portal Microsoft Azure.

Nota

Hanya satu identitas terkelola yang dapat digunakan pada Application Gateway.

Mendelegasikan identitas terkelola yang ditetapkan pengguna ke Key Vault

Tentukan kebijakan akses untuk menggunakan identitas terkelola yang ditetapkan pengguna dengan Key Vault Anda:

  1. Di portal Microsoft Azure, buka Key Vault.

  2. Pilih Key Vault yang berisi sertifikat Anda.

  3. Jika Anda menggunakan model izin kebijakan akses Vault: Pilih Kebijakan Akses, pilih + Tambahkan Kebijakan Akses, pilih Ambil untuk Izin rahasia, dan pilih identitas terkelola yang ditetapkan pengguna untuk Pilih prinsipal. Kemudian pilih Simpan.

    Jika Anda menggunakan kontrol akses berbasis peran Azure , ikuti artikel Menetapkan akses identitas terkelola ke sumber daya dan menetapkan identitas terkelola yang ditetapkan pengguna peran Pengguna Rahasia Key Vault ke Azure Key Vault.

    Nota

    Saat menggunakan Azure RBAC dengan Key Vault, jika Anda mengonfigurasi integrasi Application Gateway menggunakan PowerShell, Azure CLI, atau REST API (misalnya, menggunakan Get-AzKeyVaultSecret atau az keyvault secret show), pengguna atau perwakilan layanan yang melakukan operasi ini juga memerlukan peran Pengguna Rahasia Key Vault (atau izin yang setara) di Key Vault. Ini karena operasi manajemen ini berjalan dalam konteks keamanan Anda, bukan konteks identitas terkelola Application Gateway. Identitas terkelola digunakan oleh Application Gateway pada runtime untuk mengambil sertifikat.

Verifikasi Izin Firewall ke Key Vault

Pada 15 Maret 2021, Key Vault mengenali Application Gateway sebagai layanan tepercaya dengan memanfaatkan Identitas Terkelola Pengguna untuk autentikasi ke Azure Key Vault. Dengan penggunaan titik akhir layanan dan mengaktifkan opsi layanan tepercaya untuk firewall Key Vault, Anda dapat membangun batas jaringan yang aman di Azure. Anda dapat menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) ke Key Vault tetapi masih membuat Key Vault dapat diakses untuk sumber daya Application Gateway di bawah langganan Anda.

Saat Anda menggunakan Key Vault terbatas, gunakan langkah-langkah berikut untuk mengonfigurasi Application Gateway untuk menggunakan firewall dan jaringan virtual:

Petunjuk / Saran

Langkah 1-3 tidak diperlukan jika Key Vault Anda mengaktifkan Titik Akhir Privat. Gateway aplikasi dapat mengakses Key Vault menggunakan alamat IP privat.

Penting

Jika menggunakan Titik Akhir Privat untuk mengakses Key Vault, Anda harus menautkan zona DNS privat privatelink.vaultcore.azure.net, yang berisi rekaman yang sesuai ke Key Vault yang direferensikan, ke jaringan virtual yang berisi Application Gateway. Server DNS kustom dapat terus digunakan di jaringan virtual alih-alih penyelesai yang disediakan Azure DNS, namun zona DNS privat juga harus tetap ditautkan ke jaringan virtual.

  1. Di portal Microsoft Azure, di Key Vault Anda, pilih Jaringan.

  2. Pada tab Firewall dan jaringan virtual , pilih Jaringan yang dipilih.

  3. Untuk Jaringan virtual, pilih + Tambahkan jaringan virtual yang ada, lalu tambahkan jaringan virtual dan subnet untuk instans Application Gateway Anda. Jika diminta, pastikan kotak centang Jangan konfigurasikan titik akhir layanan 'Microsoft.KeyVault' saat ini tidak dicentang untuk memastikan Microsoft.KeyVault titik akhir layanan diaktifkan pada subnet.

  4. Pilih Ya untuk mengizinkan layanan tepercaya melewati firewall Key Vault.

    Cuplikan layar yang memperlihatkan pilihan untuk mengonfigurasi Application Gateway untuk menggunakan firewall dan jaringan virtual.

Nota

Jika Anda menyebarkan instans Application Gateway melalui templat ARM dengan menggunakan Azure CLI atau PowerShell, atau melalui aplikasi Azure yang disebarkan dari portal Microsoft Azure, sertifikat SSL disimpan di Key Vault sebagai file PFX yang dikodekan Base64. Anda harus menyelesaikan langkah-langkah dalam Menggunakan Azure Key Vault untuk meneruskan nilai parameter aman selama penyebaran.

Sangat penting untuk mengatur enabledForTemplateDeployment ke true. Sertifikat mungkin atau mungkin tidak memiliki kata sandi. Untuk sertifikat yang menggunakan kata sandi, contoh berikut menunjukkan konfigurasi yang memungkinkan untuk entri sslCertificates dalam properties untuk konfigurasi templat ARM di Application Gateway.

"sslCertificates": [
     {
         "name": "appGwSslCertificate",
         "properties": {
             "data": "[parameters('appGatewaySSLCertificateData')]",
            "password": "[parameters('appGatewaySSLCertificatePassword')]"
        }
    }
]

Nilai appGatewaySSLCertificateData dan appGatewaySSLCertificatePassword diambil dari Key Vault, seperti yang dijelaskan dalam Referensi rahasia dengan ID dinamis. Ikuti referensi mundur dari parameters('secretName') untuk melihat bagaimana pencarian terjadi. Jika sertifikat tanpa kata sandi, hilangkan password entri.

Konfigurasi Pendengar Application Gateway

Model kebijakan akses Vault untuk izin Key Vault

Navigasi ke Application Gateway Anda di portal Microsoft Azure dan pilih tab Pendengar . Pilih Tambahkan Listener (atau pilih listener yang sudah ada) dan tentukan HTTPS untuk protokol.

Di bawah Pilih sertifikat, pilih Buat baru lalu pilih Pilih sertifikat dari Key Vault di bawah Pengaturan Https.

Untuk nama Cert, ketik nama yang mudah diingat agar sertifikat direferensikan di Key Vault. Pilih Identitas terkelola, Key Vault, dan Sertifikat Anda.

Setelah dipilih, pilih Tambahkan (jika membuat) atau Simpan (jika mengedit) untuk menerapkan sertifikat Key Vault yang dirujuk ke pendengar.

Model izin kontrol akses berbasis peran Azure Key Vault

Application Gateway mendukung sertifikat yang dirujuk di Key Vault melalui model izin kontrol akses berbasis Peran. Beberapa langkah pertama untuk mereferensikan Key Vault harus diselesaikan melalui templat ARM, Bicep, CLI, atau PowerShell. Selama proses ini, identitas terkelola yang berisi izin kontrol akses berbasis Peran yang tepat digunakan.

Nota

Menentukan sertifikat Azure Key Vault yang tunduk pada model izin kontrol akses berbasis peran tidak didukung melalui portal.

Dalam contoh ini, kita akan menggunakan PowerShell untuk mereferensikan rahasia Key Vault baru.

# Get the Application Gateway we want to modify
$appgw = Get-AzApplicationGateway -Name MyApplicationGateway -ResourceGroupName MyResourceGroup
# Specify the resource id to the user assigned managed identity - This can be found by going to the properties of the managed identity
Set-AzApplicationGatewayIdentity -ApplicationGateway $appgw -UserAssignedIdentityId "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/MyResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyManagedIdentity"
# Get the secret ID from Key Vault
$secret = Get-AzKeyVaultSecret -VaultName "MyKeyVault" -Name "CertificateName"
$secretId = $secret.Id.Replace($secret.Version, "") # Remove the secret version so Application Gateway uses the latest version in future syncs
# Specify the secret ID from Key Vault 
Add-AzApplicationGatewaySslCertificate -KeyVaultSecretId $secretId -ApplicationGateway $appgw -Name $secret.Name
# Commit the changes to the Application Gateway
Set-AzApplicationGateway -ApplicationGateway $appgw

Setelah perintah dijalankan, Anda dapat menavigasi ke Application Gateway Anda di portal Microsoft Azure dan memilih tab Listener. Klik Tambahkan Listener (atau pilih yang sudah ada) dan tentukan Protokol ke HTTPS.

Di bawah Pilih sertifikat pilih sertifikat bernama di langkah-langkah sebelumnya. Setelah dipilih, pilih Tambahkan (jika membuat) atau Simpan (jika mengedit) untuk menerapkan sertifikat Key Vault yang dirujuk ke pendengar.

Menyelidiki dan mengatasi kesalahan Key Vault

Nota

Penting untuk mempertimbangkan dampak apa pun pada sumber daya gateway aplikasi Anda saat membuat perubahan atau mencabut akses ke sumber daya Key Vault Anda. Jika gateway aplikasi Anda tidak dapat mengakses brankas kunci terkait atau menemukan objek sertifikat di dalamnya, gateway aplikasi secara otomatis mengatur pendengar ke status dinonaktifkan.

Anda dapat mengidentifikasi peristiwa berbasis pengguna ini dengan melihat Kesehatan Sumber Daya untuk gateway aplikasi Anda. Pelajari selengkapnya.

Azure Application Gateway tidak hanya memeriksa versi sertifikat yang diperbarui pada Key Vault setiap empat jam. Ini juga mencatat kesalahan apa pun dan terintegrasi dengan Azure Advisor untuk menampilkan kesalahan konfigurasi dengan rekomendasi untuk perbaikannya.

  1. Masuk ke portal Microsoft Azure Anda
  2. Pilih Penasihat
  3. Pilih Kategori Keunggulan Operasional dari menu sebelah kiri.
  4. Anda menemukan rekomendasi berjudul Mengatasi masalah Azure Key Vault untuk Application Gateway Anda, jika gateway Anda mengalami masalah ini. Pastikan langganan yang benar dipilih dari opsi drop-down di atas.
  5. Pilih untuk melihat detail kesalahan, sumber daya brankas kunci terkait, dan panduan pemecahan masalah untuk memperbaiki masalah anda.

Dengan mengidentifikasi peristiwa tersebut melalui Azure Advisor atau Resource Health, Anda dapat dengan cepat menyelesaikan masalah konfigurasi apa pun dengan Key Vault Anda. Kami sangat menyarankan Anda memanfaatkan pemberitahuan Azure Advisor dan Resource Health untuk tetap mendapatkan informasi saat masalah terdeteksi.

Untuk pemberitahuan Advisor, gunakan "Atasi masalah Azure Key Vault untuk Application Gateway Anda" dalam jenis rekomendasi yang ditampilkan:
Diagram yang memperlihatkan langkah-langkah untuk pemberitahuan Advisor.

Anda dapat mengonfigurasi pemberitahuan Kesehatan sumber daya seperti yang diilustrasikan:
Diagram yang memperlihatkan langkah-langkah untuk pemberitahuan Kesehatan sumber daya.

Langkah selanjutnya

Mengonfigurasi penghentian TLS dengan sertifikat Key Vault dengan menggunakan Azure PowerShell

  • Last updated on