Konfigurasikan pendengar Azure Application Gateway untuk enkripsi
Anda telah mengonfigurasi SSL untuk koneksi antara Azure Application Gateway dan server di kumpulan backend. Untuk portal pengiriman, Anda memerlukan enkripsi menyeluruh penuh. Untuk melakukan enkripsi ini, Anda juga perlu mengenkripsi pesan yang dikirim klien ke Azure Application Gateway.
Buat port ujung depan
Azure Application Gateway menerima permintaan melalui satu atau beberapa port. Jika Anda berkomunikasi dengan gateway melalui HTTPS, Anda harus mengonfigurasi port SSL. Secara tradisional, HTTPS menggunakan port 443. Gunakan perintah az network application-gateway frontend-port create untuk membuat port ujung depan baru. Contoh berikut menunjukkan cara membuat port ujung depan untuk port 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Konfigurasikan pendengar
Pendengar menunggu lalu lintas masuk ke gateway pada port ujung depan tertentu. Lalu lintas ini kemudian dirutekan ke server di kumpulan ujung belakang. Jika port ujung depan menggunakan SSL, Anda perlu menunjukkan sertifikat yang digunakan untuk mendekripsi pesan masuk. Sertifikat ini menyertakan kunci privat.
Anda dapat menambahkan sertifikat dengan menggunakan perintah az network application-gateway ssl-cert create. File sertifikat harus dalam format PFX. Karena berkas ini memuat kunci privat, kemungkinan besar kata sandi akan dilindungi. Anda memberikan kata sandi dalam argumen cert-password, seperti yang ditunjukkan dalam contoh berikut.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Anda kemudian dapat membuat pendengar yang menerima permintaan dari port ujung depan dan mendekripsinya dengan menggunakan sertifikat ini. Gunakan perntah az network application-gateway http-listener create.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Tentukan aturan untuk mengirim permintaan HTTPS ke server
Langkah terakhir adalah membuat aturan yang mengarahkan pesan yang diterima melalui pendengar ke server di kumpulan ujung belakang. Pesan yang diterima dari port ujung depan didekripsi melalui sertifikat SSL yang ditentukan untuk pendengar. Anda perlu mengenkripsi ulang pesan-pesan ini dengan menggunakan sertifikat pihak klien untuk server di kumpulan ujung belakang. Anda mendefinisikan informasi ini dalam aturan.
Contoh berikut menunjukkan cara menggunakan perintah az network application-gateway rule create untuk membuat aturan yang menyambungkan pendengar ke kumpulan ujung belakang. Parameter --http-settings menentukan pengaturan HTTP yang mereferensikan sertifikat sisi klien untuk server. Anda membuat pengaturan ini di unit sebelumnya.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Sekarang Anda seharusnya sudah memiliki enkripsi menyeluruh untuk pesan yang dirutekan melalui Azure Application Gateway. Klien menggunakan sertifikat SSL untuk Azure Application Gateway untuk mengirim pesan. Application Gateway mendekripsi pesan ini dengan menggunakan sertifikat SSL ini. Layanan ini kemudian mengenkripsi ulang pesan dengan menggunakan sertifikat untuk server di kumpulan backend.