Creare i certificati per consentire il back-end con il gateway applicazione di Azure

Per eseguire TLS end-to-end, il gateway applicazione richiede che le istanze back-end siano consentite caricando certificati radice attendibili o di autenticazione. Per consentire i certificati, per lo SKU v1 sono necessari certificati di autenticazione, mentre per lo SKU v2 sono necessari certificati radice trusted.

In questo articolo vengono illustrate le operazioni seguenti:

• Esportare il certificato di autenticazione da un certificato back-end (per SKU v1)
• Esportare un certificato radice attendibile da un certificato back-end (per SKU v2)

Prerequisiti

Per generare i certificati di autenticazione o i certificati radice attendibili necessari per consentire istanze back-end con il gateway applicazione, è necessario un certificato back-end esistente. Il certificato back-end può essere uguale al certificato TLS/SSL oppure diverso per una maggiore sicurezza. Il gateway applicazione non fornisce alcun meccanismo per creare o acquistare un certificato TLS/SSL. A scopo di test, è possibile creare un certificato autofirmato, ma non usarlo per i carichi di lavoro di produzione.

Esportare il certificato di autenticazione (per SKU v1)

È necessario un certificato di autenticazione per consentire le istanze back-end nello SKU del gateway applicazione v1. Il certificato di autenticazione è la chiave pubblica dei certificati del server back-end in base 64 con codifica formato X.509(.CER). In questo esempio si userà un certificato TLS/SSL per il certificato back-end ed esportare la chiave pubblica da usare come certificazione di autenticazione. In questo esempio si userà anche lo strumento Gestione certificati di Windows per esportare i certificati necessari. È possibile scegliere di usare qualsiasi altro strumento conveniente.

Dal certificato TLS/SSL esportare la chiave pubblica .cer file (non la chiave privata). I passaggi seguenti consentono di esportare il file .cer in base 64 con codifica X.509(. Formato CER) per il certificato:

1. Per ottenere un file con estensione cer dal certificato, aprire Gestire i certificati utente. Individuare il certificato, in genere in "Certificati - Utente corrente\Personale\Certificati" e fare clic con il pulsante destro del mouse. Fare clic su Tutte le attività e quindi su Esporta. Si avvia la procedura di Esportazione guidata certificati. Se si vuole aprire Gestione certificati nell'ambito dell'utente corrente usando PowerShell, digitare certmgr nella finestra della console.

Nota

Se non è possibile trovare il certificato in Utente corrente\Personale\Certificati, è possibile aver accidentalmente aperto Certificati - Computer locale" invece di "Certificati - Utente corrente".

1. Nella procedura guidata fare clic su Avanti.

   

2. Selezionare No, non esportare la chiave privata e quindi fare clic su Avanti.

   

3. Nella pagina Formato file di esportazione selezionare Codificato Base 64 X.509 (.CER) e quindi fare clic su Avanti.

   

4. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.

   

5. Fare clic su Fine per esportare il certificato.

   

6. Il certificato è stato esportato correttamente.

   

   Il certificato esportato è simile al seguente:

   

7. Se si apre il certificato esportato usando il Blocco note, viene visualizzato un certificato simile a questo esempio. La sezione in blu contiene le informazioni caricate nel gateway applicazione. Se si apre il certificato con il Blocco note e non è simile all'esempio seguente, in genere significa che non è stato esportato usando il formato di codifica Base 64 X.509(.CER). Se si vuole usare un editor di testo diverso, è anche utile sapere che alcuni editor possono introdurre una formattazione imprevista in background. Ciò può creare problemi quando il testo viene caricato da questo certificato in Azure.

   

Esportare un certificato radice attendibile (per SKU v2)

Il certificato radice attendibile è necessario per consentire le istanze back-end nello SKU v2 del gateway applicazione. Il certificato radice è un certificato radice con codifica base 64 X.509(.CER) dei certificati del server back-end. In questo esempio si userà un certificato TLS/SSL per il certificato back-end, si esporta la chiave pubblica e quindi si esporta il certificato radice della CA attendibile dalla chiave pubblica in formato con codifica Base64 per ottenere il certificato radice attendibile. I certificati intermedi devono essere raggruppati con il certificato del server e installati nel server back-end.

La procedura seguente consente di esportare il file .cer per il certificato:

1. Usare i passaggi da 1 a 8 indicati nella sezione precedente Esportare il certificato di autenticazione (per SKU v1) per esportare la chiave pubblica dal certificato back-end.

2. Dopo l'esportazione della chiave pubblica, aprire il file.

   

   

3. Passare alla visualizzazione Percorso certificazione per visualizzare l'autorità di certificazione.

   

4. Selezionare il certificato radice e fare clic su Visualizza certificato.

   

   Verranno visualizzati i dettagli del certificato radice.

   

5. Passare alla visualizzazione Dettagli e fare clic su Copia nel file...

   

6. A questo punto, sono stati estratti i dettagli del certificato radice dal certificato back-end. Verrà visualizzata l'Esportazione guidata certificati. Usare ora i passaggi da 2 a 9 indicati nella sezione Esportare il certificato di autenticazione da un certificato back-end (per SKU v1) precedente per esportare il certificato radice attendibile nel certificato X.509 con codifica Base 64(. Formato CER).

Passaggi successivi

Ora si dispone del certificato di autenticazione/certificato radice attendibile in formato codifica di base 64 codificato X.509(.CER). È possibile aggiungerlo al gateway applicazione per consentire ai server back-end la crittografia TLS end-to-end. Vedere Configurare TLS end-to-end usando il gateway applicazione con PowerShell.