Mengonfigurasi TLS end-to-end dengan menggunakan Application Gateway dengan portal

  • Artikel

Artikel ini menjelaskan cara menggunakan portal Microsoft Azure untuk mengkonfigurasikan Keamanan Lapisan Transportasi (TLS) end-to-end secara menyeluruh, yang sebelumnya dikenal sebagai enkripsi Secure Sockets Layer (SSL), melalui SKU v1 Azure Application Gateway.

Catatan

SKU v2 Application Gateway memerlukan sertifikat akar tepercaya untuk mengaktifkan konfigurasi end-to-end.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Sebelum Anda mulai

Untuk mengkonfigurasikan TLS end-to-end dengan gateway aplikasi, Anda memerlukan sertifikat untuk gateway. Sertifikat juga diperlukan untuk server backend. Sertifikat gateway digunakan untuk memperoleh kunci konten sesuai spesifikasi protokol TLS. Kunci konten kemudian digunakan untuk mengenkripsi dan mendekripsi lalu lintas yang dikirim ke gateway.

Untuk enkripsi TLS end-to-end, server backend kanan harus diizinkan di gateway aplikasi. Untuk mengizinkan akses ini, unggah sertifikat publik server backend, juga dikenal sebagai Sertifikat Autentikasi (v1) atau Sertifikat Akar Tepercaya (v2), ke gateway aplikasi. Menambahkan sertifikat memastikan bahwa gateway aplikasi hanya berkomunikasi dengan instans backend yang diketahui. Konfigurasi ini selanjutnya mengamankan komunikasi end-to-end.

Penting

Jika Anda menerima pesan kesalahan untuk sertifikat server backend, verifikasi bahwa sertifikat frontend Common Name (CN) cocok dengan CN sertifikat backend. Untuk informasi selengkapnya, lihat Ketidakcocokan sertifikat akar tepercaya

Untuk mempelajari lebih lanjut, lihat Ringkasan tentang penghentian TLS dan TLS end-to-end dengan Application Gateway.

Buat gateway aplikasi baru dengan TLS end-to-end

Untuk membuat gateway aplikasi baru dengan enkripsi TLS end-to-end, Anda harus terlebih dahulu mengaktifkan penghentian TLS saat membuat gateway aplikasi baru. Tindakan ini mengaktifkan enkripsi TLS untuk komunikasi antara klien dan gateway aplikasi. Kemudian, Anda harus memasukkan Brankas Penerima mencantumkan sertifikat untuk server backend di pengaturan HTTP. Konfigurasi ini memungkinkan enkripsi TLS untuk komunikasi antara gateway aplikasi dan server backend. Itu mencapai enkripsi TLS end-to-end.

Aktifkan penghentian TLS saat membuat gateway aplikasi baru

Untuk mempelajari lebih lanjut, lihat aktifkan penghentian TLS saat membuat gateway aplikasi baru.

Menambahkan sertifikat autentikasi/akar server backend

  1. Pilih Semua sumber daya, lalu pilih myAppGateway.

  2. Pilih pengaturan HTTP dari menu sisi kiri. Azure secara otomatis membuat pengaturan HTTP default, appGatewayBackendHttpSettings, saat Anda membuat gateway aplikasi.

  3. Pilih appGatewayBackendHttpSettings.

  4. Di bawah Protokol, pilihHTTPS. Panel untuk Sertifikat autentikasi backend atau Sertifikat akar tepercaya muncul.

  5. Pilih Buat baru.

  6. Di bidang Nama, masukkan nama yang sesuai.

  7. Pilih file sertifikat dalam kotak Unggah sertifikat CER.

    Untuk gateway aplikasi Standar dan WAF (v1), Anda harus mengunggah kunci publik sertifikat server backend Anda dalam format .cer.

    Add certificate

    Untuk gateway aplikasi Standard_v2 dan WAF_v2, Anda harus mengunggah sertifikat akar sertifikat server backend dalam format .cer. Jika sertifikat backend dikeluarkan oleh otoritas sertifikat (CA) terkenal, Anda dapat memilih kotak centang Gunakan Sertifikat CA Terkenal, lalu Anda tidak perlu mengunggah sertifikat.

    Add trusted root certificate

    Root certificate

  8. Pilih Simpan.

Aktifkan TLS end-to-end untuk gateway aplikasi yang sudah ada

Untuk mengkonfigurasikan gateway aplikasi yang ada dengan enkripsi TLS end-to-end, Anda harus terlebih dahulu mengaktifkan penghentian TLS di pendengar. Tindakan ini mengaktifkan enkripsi TLS untuk komunikasi antara klien dan gateway aplikasi. Kemudian, letakkan sertifikat tersebut untuk server backend di pengaturan HTTP pada daftar Penerima Brankas. Konfigurasi ini memungkinkan enkripsi TLS untuk komunikasi antara gateway aplikasi dan server backend. Itu mencapai enkripsi TLS end-to-end.

Anda harus menggunakan pendengar dengan protokol HTTPS dan sertifikat untuk mengaktifkan penghentian TLS. Anda baik dapat menggunakan pendengar yang sudah ada yang memenuhi kondisi tersebut atau membuat pendengar baru. Jika Anda memilih opsi sebelumnya, Anda dapat mengabaikan bagian "Aktifkan penghentian TLS di gateway aplikasi yang ada" berikut dan berpindah langsung ke bagian "Tambahkan autentikasi/sertifikat akar tepercaya untuk server ujung belakang".

Jika Anda memilih opsi yang terakhir, aplikasikan langkah-langkah dalam prosedur berikut.

Aktifkan penghentian TLS pada gateway aplikasi yang sudah ada

  1. Pilih Semua sumber daya, lalu pilih myAppGateway.

  2. Pilih Pendengar dari menu sebelah kiri.

  3. Pilih antara pendengar Dasar atau Multi-situs bergantung pada persyaratan Anda.

  4. Di bawah Protokol, pilihHTTPS. Panel untuk Sertifikat muncul.

  5. Unggah sertifikat PFX yang ingin Anda gunakan untuk penghentian TLS antara klien dan gateway aplikasi.

    Catatan

    Untuk kepentingan pengujian, Anda dapat menggunakan sertifikat yang ditandatangani sendiri. Namun, tindakan ini tidak disarankan untuk beban kerja produksi, karena beban kerja tersebut lebih sulit dikelola dan tidak sepenuhnya aman. Untuk informasi selengkapnya, lihat buat sertifikat yang ditandatangani sendiri.

  6. Tambahkan pengaturan lain yang diperlukan untuk Pendengar, bergantung pada kebutuhan Anda.

  7. Pilih OK untuk simpan.

Menambahkan sertifikat autentikasi/akar tepercaya dari server backend

  1. Pilih Semua sumber daya, lalu pilih myAppGateway.

  2. Pilih pengaturan HTTP dari menu sisi kiri. Anda dapat menempatkan sertifikat dalam pengaturan HTTP backend yang ada pada daftar penerima Brankas atau membuat pengaturan HTTP baru. (Di langkah berikutnya, sertifikat untuk pengaturan HTTP default, appGatewayBackendHttpSettings, ditambahkan ke daftar Penerima Aman.)

  3. Pilih appGatewayBackendHttpSettings.

  4. Di bawah Protokol, pilihHTTPS. Panel untuk Sertifikat autentikasi backend atau Sertifikat akar tepercaya muncul.

  5. Pilih Buat baru.

  6. Di bidang Nama, masukkan nama yang sesuai.

  7. Pilih file sertifikat dalam kotak Unggah sertifikat CER.

    Untuk gateway aplikasi Standar dan WAF (v1), Anda harus mengunggah kunci publik sertifikat server backend Anda dalam format .cer.

    Add certificate

    Untuk gateway aplikasi Standard_v2 dan WAF_v2, Anda harus mengunggah sertifikat akar sertifikat server backend dalam format .cer. Jika sertifikat backend dikeluarkan oleh CA terkenal, Anda dapat memilih kotak centang Gunakan Sertifikat CA Terkenal, lalu Anda tidak perlu mengunggah sertifikat.

    Add trusted root certificate

  8. Pilih Simpan.

Langkah berikutnya

Mengelola lalu lintas web dengan gateway aplikasi menggunakan CLI Azure