Configurare TLS end-to-end usando un gateway applicazione con il portale

Questo articolo descrive come usare il portale di Azure per configurare la crittografia TLS (Transport Layer Security) end-to-end, precedentemente nota come crittografia SSL (Secure Sockets Layer), tramite lo SKU v1 del gateway applicazione di Azure.

Nota

Lo SKU v2 del gateway applicazione richiede certificati radice trusted per abilitare la configurazione end-to-end.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Operazioni preliminari

Per configurare TLS end-to-end con un gateway applicazione, è necessario un certificato per il gateway. I certificati sono obbligatori anche per i server back-end. Il certificato del gateway viene usato per derivare una chiave simmetrica in conformità alla specifica del protocollo TLS. La chiave simmetrica viene quindi usata per crittografare e decrittografare il traffico inviato al gateway.

Per la crittografia TLS end-to-end, i server back-end corretti devono essere consentiti nel gateway applicazione. Per consentire questo accesso, caricare il certificato pubblico dei server back-end, noto anche come certificato di autenticazione (v1) o certificato radice trusted (v2) nel gateway applicazione. L'aggiunta del certificato garantisce che il gateway applicazione comunichi solo con istanze back-end note. Questa configurazione protegge ulteriormente la comunicazione end-to-end.

Importante

Se viene visualizzato un messaggio di errore per il certificato del server back-end, verificare che il nome comune del certificato front-end corrisponda al nome comune del certificato back-end. Per maggiori informazioni, vedere Certificati radice trusted non corrispondenti

Per maggiori informazioni, vedere Panoramica della terminazione TLS e di TLS end-to-end con il gateway applicazione.

Creare un nuovo gateway applicazione con TLS end-to-end

Per creare un nuovo gateway applicazione con crittografia TLS end-to-end, occorre innanzitutto abilitare la terminazione TLS durante la creazione di un nuovo gateway applicazione. Questa azione abilita la crittografia TLS per la comunicazione tra il client e il gateway applicazione. Sarà quindi necessario inserire i certificati per i server back-end nell'elenco dei destinatari attendibili dalle impostazioni HTTP. Questa configurazione abilita la crittografia TLS per la comunicazione tra il gateway applicazione e i server back-end. Ciò consente di eseguire la crittografia TLS end-to-end.

Abilitare la terminazione TLS durante la creazione di un nuovo gateway applicazione

Per maggiori informazioni, vedere Abilitare la terminazione TLS durante la creazione di un nuovo gateway applicazione.

Aggiungere certificati di autenticazione/radice dei server back-end

1. Fare clic su Tutte le risorse e quindi selezionare myAppGateway.

2. Selezionare Impostazioni HTTP dal menu a sinistra. Azure ha creato automaticamente un'impostazione HTTP predefinita, appGatewayBackendHttpSettings, quando è stato creato il gateway applicazione.

3. Selezionare appGatewayBackendHttpSettings.

4. In Protocollo, selezionare HTTPS. Viene visualizzato un riquadro per certificati di autenticazione back-end o certificati radice trusted.

5. Selezionare Crea nuovo.

6. Nel campo Nome, immettere un nome adatto.

7. Selezionare il file del certificato nella casella Carica certificato CER.

   Per i gateway applicazione Standard e WAF (v1), è necessario caricare la chiave pubblica del certificato del server back-end in formato .cer.

   

   Per i gateway applicazione Standard_v2 e WAF_v2, è necessario caricare il certificato radice del certificato del server back-end in formato .cer. Se il certificato back-end viene emesso da un'autorità di certificazione (CA) nota, è possibile selezionare la casella di controllo Usa certificato CA noto senza che sia necessario caricare un certificato.

   

   

8. Seleziona Salva.

Abilitare TLS end-to-end per un gateway applicazione esistente

Per configurare un gateway applicazione esistente con crittografia TLS end-to-end, occorre innanzitutto abilitare la terminazione TLS nel listener. Questa azione abilita la crittografia TLS per la comunicazione tra il client e il gateway applicazione. Occorre quindi inserire tali certificati per i server back-end nell'elenco dei destinatari attendibili dalle impostazioni HTTP. Questa configurazione abilita la crittografia TLS per la comunicazione tra il gateway applicazione e i server back-end. Ciò consente di eseguire la crittografia TLS end-to-end.

È necessario usare un listener con protocollo HTTPS e un certificato per abilitare la terminazione TLS. È possibile usare un listener esistente che soddisfi tali condizioni oppure crearne uno nuovo. Se si sceglie la prima opzione, è possibile ignorare la sezione "Abilitare terminazione TLS in un gateway applicazione esistente" qui di seguito e passare direttamente alla sezione "Aggiungere certificati di autenticazione/radice trusted per i server back-end".

Se si sceglie la seconda opzione, attenersi alla procedura seguente.

Abilitare la terminazione TLS in un gateway applicazione esistente

1. Fare clic su Tutte le risorse e quindi selezionare myAppGateway.

2. Selezionare Listener dal menu a sinistra.

3. Selezionare un listener Basic o Multisito in base alle proprie esigenze.

4. In Protocollo, selezionare HTTPS. Viene visualizzato un riquadro per il Certificato.

5. Caricare il certificato PFX che si intende usare per la terminazione TLS tra il client e il gateway applicazione.

   Nota

   Per eseguire i test, è possibile usare un certificato autofirmato. Tuttavia, questa opzione non è consigliata per i carichi di lavoro di produzione, in quanto più difficili da gestire e non completamente sicuri. Per maggiori informazioni, vedere Creare un certificato autofirmato.

6. Aggiungere altre impostazioni obbligatorie per il Listener, in base alle proprie esigenze.

7. Selezionare OK per salvare.

Aggiungere certificati di autenticazione/radice trusted dei server back-end

1. Fare clic su Tutte le risorse e quindi selezionare myAppGateway.

2. Selezionare Impostazioni HTTP dal menu a sinistra. È possibile inserire i certificati in un'impostazione HTTP back-end esistente nell'elenco dei destinatari attendibili oppure creare una nuova impostazione HTTP. (Nel passaggio successivo, il certificato per l'impostazione HTTP predefinita, appGatewayBackendHttpSettings, viene aggiunto all'elenco dei destinatari attendibili.)

3. Selezionare appGatewayBackendHttpSettings.

4. In Protocollo, selezionare HTTPS. Viene visualizzato un riquadro per certificati di autenticazione back-end o certificati radice trusted.

5. Selezionare Crea nuovo.

6. Nel campo Nome, immettere un nome adatto.

7. Selezionare il file del certificato nella casella Carica certificato CER.

   Per i gateway applicazione Standard e WAF (v1), è necessario caricare la chiave pubblica del certificato del server back-end in formato .cer.

   

   Per i gateway applicazione Standard_v2 e WAF_v2, è necessario caricare il certificato radice del certificato del server back-end in formato .cer. Se il certificato back-end viene emesso da una CA nota, è possibile selezionare la casella di controllo Usa certificato CA noto senza che sia necessario caricare un certificato.

   

8. Seleziona Salva.

Passaggi successivi

Gestire il traffico Web con un gateway applicazione mediante l'interfaccia della riga di comando di Azure