Sebelumnya

Berikutnya

Mengonfigurasi kumpulan ujung belakang untuk enkripsi

Selesai

Kumpulan ujung belakar berisi server yang mengimplementasikan aplikasi. Azure Application Gateway merutekan permintaan ke server ini, dan dapat memuat keseimbangan lalu lintas di server ini.

Di portal pengiriman, server aplikasi di kumpulan ujung belakang harus menggunakan SSL untuk mengenkripsi data yang melewati antara Azure Application Gateway dan server di kumpulan ujung belakang. Azure Application Gateway menggunakan sertifikat SSL dengan kunci umum untuk mengenkripsi data. Server menggunakan kunci privat yang sesuai untuk mendekripsi data seperti yang diterima. Di unit ini, Anda akan melihat cara membuat kumpulan backend dan menginstal sertifikat yang diperlukan di Application Gateway. Sertifikat ini membantu melindungi pesan yang dikirim ke dan dari kumpulan backend.

Enkripsi dari Azure Application Gateway ke kumpulan ujung belakang

Kumpulan ujung belakang dapat mereferensikan masing-masing komputer virtual, set skala komputer virtual, alamat IP komputer nyata (baik lokal atau jarak jauh), atau layanan yang dihosting melalui Azure App Service. Semua server di kumpulan ujung belakang harus dikonfigurasi dengan cara yang sama, termasuk pengaturan keamanannya.

Jika lalu lintas yang diarahkan ke kumpulan ujung belakang dilindungi melalui SSL, tiap server di kumpulan ujung belakang harus memberikan sertifikat yang sesuai. Untuk tujuan pengujian, Anda dapat membuat sertifikat yang ditandatangani sendiri. Dalam lingkungan produksi, Anda harus selalu membuat atau membeli sertifikat yang dapat diautentikasi oleh otoritas sertifikat (CA).

Saat ini ada dua versi Azure Application Gateway: v1 dan v2. Mereka memiliki kemampuan yang sama, tetapi memiliki detail implementasi yang sedikit berbeda. Versi v2 menyediakan lebih banyak fitur dan peningkatan performa.

Konfigurasi sertifikat di Azure Application Gateway v1

Azure Application Gateway v1 mengharuskan Anda memasang sertifikat autentikasi untuk server di konfigurasi gateway. Sertifikat ini berisi kunci publik yang digunakan Application Gateway untuk mengenkripsi pesan dan mengautentikasi server Anda. Anda bisa membuat sertifikat ini dengan mengekspornya dari server. Server aplikasi menggunakan kunci privat yang sesuai untuk mendekripsi pesan-pesan ini. Kunci privat ini harus disimpan hanya di server aplikasi Anda.

Anda bisa menambahkan sertifikat autentikasi ke Azure Application Gateway dengan menggunakan perintah az network application-gateway auth-cert create dari Azure CLI. Contoh berikut mengilustrasikan sintaks perintah ini. Sertifikat harus dalam format CER (Klaim, Bukti, dan Penalaran).

az network application-gateway auth-cert create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <certificate name> \
    --cert-file <path to authentication certificate>

Application Gateway menyediakan perintah lain yang dapat Anda gunakan untuk membuat daftar dan mengelola sertifikat autentikasi. Misalnya:

• Perintah az network application-gateway auth-cert list memperlihatkan sertifikat yang telah dipasang.
• Anda dapat menggunakan az network application-gateway auth-cert update perintah untuk mengubah sertifikat.
• Perintah az network application-gateway auth-cert delete akan menghapus sertifikat.

Konfigurasi sertifikat di Azure Application Gateway v2

Azure Application Gateway v2 memiliki persyaratan autentikasi yang sedikit berbeda. Anda memberikan sertifikat untuk otoritas sertifikat yang telah mengautentikasi sertifikat SSL untuk server di kumpulan ujung belakang. Anda menambahkan sertifikat ini sebagai sertifikat akar tepercaya ke Azure Application Gateway. Gunakan perintah az network application-gateway root-cert create dari Azure CLI.

az network application-gateway root-cert create \
      --resource-group <resource group name> \
      --gateway-name <application gateway name> \
      --name <certificate name> \
      --cert-file <path to trusted CA certificate>

Jika server Anda menggunakan sertifikat yang ditandatangani sendiri, tambahkan sertifikat ini sebagai sertifikat akar tepercaya di Azure Application Gateway.

Pengaturan HTTP

Application Gateway menggunakan aturan untuk menentukan cara mengarahkan pesan yang diterimanya pada port masuknya ke server di kumpulan backend. Jika server menggunakan SSL, Anda harus mengonfigurasi aturan untuk menunjukkan:

• Server mengharapkan lalu lintas melalui protokol HTTPS.
• Sertifikat mana yang digunakan untuk mengenkripsi lalu lintas dan mengautentikasi koneksi ke server.

Anda mendefinisikan informasi konfigurasi ini dengan menggunakan pengaturan HTTP.

Anda dapat menentukan pengaturan HTTP dengan menggunakan az network application-gateway http-settings create perintah di Azure CLI. Contoh berikut menunjukkan sintaks untuk membuat pengaturan yang merutekan lalu lintas dengan menggunakan protokol HTTPS ke port 443 pada server di kumpulan ujung belakang. Jika Anda menggunakan Azure Application Gateway v1, paramater --auth-certs adalah nama sertifikat autentikasi yang Anda tambahkan ke Azure Application Gateway sebelumnya.

az network application-gateway http-settings create \
    --resource-group <resource group name> \
    --gateway-name <application gateway name> \
    --name <HTTPS settings name> \
    --port 443 \
    --protocol Https \
    --auth-certs <certificate name>

Jika Anda menggunakan Azure Application Gateway v2, hilangkan parameter --auth-certs. Azure Application Gateway menghubungi server ujung belakang. Ini memverifikasi keaslian sertifikat yang disajikan oleh server terhadap CA yang ditentukan oleh daftar sertifikat akar tepercaya. Jika tidak ada kecocokan, Azure Application Gateway tidak akan tersambung ke server ujung belakang dan akan gagal dengan kesalahan HTTP 502 (Gateway Buruk).

Lanjutkan