チュートリアル: Azure portal を使用して TLS 終端でアプリケーションゲートウェイを構成する

[アーティクル]
05/11/2023

Azure portal を使用して、バックエンドサーバーに仮想マシンを使用する TLS ターミネーションの証明書で、アプリケーションゲートウェイを構成することができます。

このチュートリアルでは、以下の内容を学習します。

自己署名証明書の作成
証明書でのアプリケーションゲートウェイの作成
バックエンドサーバーとして使用される仮想マシンの作成
アプリケーションゲートウェイのテスト

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

Note

Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

前提条件

Azure サブスクリプション

自己署名証明書の作成

このセクションでは、New-SelfSignedCertificate を使用して、自己署名証明書を作成します。アプリケーションゲートウェイのリスナーを作成するときに、証明書を Azure portal にアップロードします。

ローカルコンピューターでは、管理者として Windows PowerShell ウィンドウを開きます。次のコマンドを実行して、証明書を作成します。

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

次のような応答が表示されます。

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Export-PfxCertificate と返されたサムプリントを使用して、pfx ファイルを証明書からエクスポートします。サポートされている PFX アルゴリズムの一覧は、「PFXImportCertStore 関数」を参照してください。パスワードの長さが 4 - 12 文字であることを確認してください。

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Azure portal にサインインします。

アプリケーションゲートウェイの作成

Azure portal メニューの [+ リソースの作成]>[ネットワーキング]>[アプリケーションゲートウェイ] の順に選択するか、ポータルの検索ボックスで "アプリケーションゲートウェイ" を検索します。
［作成］ を選択します

[基本] タブ

[基本] タブで、次の値を入力または選択します。
- [リソースグループ] :リソースグループには、myResourceGroupAG を選択します。存在しない場合は、 [新規作成] を選択して作成します。
- [アプリケーションゲートウェイ名] :アプリケーションゲートウェイの名前として「myAppGateway」と入力します。
お客様が作成するリソースの間で Azure による通信が行われるには、仮想ネットワークが必要です。新しい仮想ネットワークを作成することも、既存の仮想ネットワークを使用することもできます。この例では、アプリケーションゲートウェイの作成と同時に新しい仮想ネットワークを作成します。 Application Gateway インスタンスは、個別のサブネットに作成されます。この例では 2 つのサブネットを作成します。1 つはアプリケーションゲートウェイ用で、もう 1 つはバックエンドサーバー用です。

[仮想ネットワークの構成] で、 [新規作成] を選択して新しい仮想ネットワークを作成します。 [仮想ネットワークの作成] ウィンドウが開いたら、次の値を入力して、仮想ネットワークと 2 つのサブネットを作成します。
- Name:仮想ネットワークの名前として「myVNet」と入力します。
- [サブネット名] (Application Gateway サブネット): [サブネット] グリッドには、 [既定] という名前のサブネットが表示されます。このサブネットの名前を myAGSubnet に変更します。
  アプリケーションゲートウェイサブネットには、アプリケーションゲートウェイのみを含めることができます。その他のリソースは許可されません。
- [サブネット名] (バックエンドサーバーサブネット): [サブネット] グリッドの 2 行目で、 [サブネット名] 列に「myBackendSubnet」と入力します。
- [アドレス範囲] (バックエンドサーバーサブネット): [サブネット] グリッドの 2 行目に、myAGSubnet のアドレス範囲と重複しないアドレス範囲を入力します。たとえば、myAGSubnet のアドレス範囲が 10.0.0.0/24 の場合は、myBackendSubnet のアドレス範囲として「10.0.1.0/24」と入力します。
[OK] を選択して [仮想ネットワークの作成] ウィンドウを閉じ、仮想ネットワークの設定を保存します。
[基本] タブで、その他の設定の既定値をそのまま使用し、 [次へ:フロントエンド] を選択します。

[フロントエンド] タブ

[フロントエンド] タブで、 [フロントエンド IP アドレスの種類] が [パブリック] に設定されていることを確認します。
ユースケースに従って、フロントエンド IP を [パブリック] または [プライベート] に設定できます。この例では、パブリックフロントエンド IP を選択します。

Note

Application Gateway v2 SKU では、 [パブリック] フロントエンド IP 構成のみを選択できます。プライベートフロントエンド IP 構成は、この v2 SKU では現在有効になっていません。
[パブリック IP アドレス] として [新規追加] を選択し、パブリック IP アドレス名として「myAGPublicIPAddress」と入力し、 [OK] を選択します。
バックエンド を選択します。

[バックエンド] タブ

バックエンドプールは、要求を処理するバックエンドサーバーに要求をルーティングするために使用されます。バックエンドプールは、NIC、仮想マシンスケールセット、パブリック IP、内部 IP、完全修飾ドメイン名 (FQDN)、および Azure App Service などのマルチテナントバックエンドで構成できます。この例では、アプリケーションゲートウェイを使用して空のバックエンドプールを作成し、バックエンドターゲットをバックエンドプールに追加します。

[バックエンド] タブで、 [バックエンドプールの追加] を選択します。
開いた [バックエンドプールの追加] ウィンドウで、次の値を入力して空のバックエンドプールを作成します。
- Name:バックエンドプールの名前として「myBackendPool」と入力します。
- [ターゲットを持たないバックエンドプールを追加します] : [はい] を選択して、ターゲットを持たないバックエンドプールを作成します。アプリケーションゲートウェイを作成した後で、バックエンドターゲットを追加します。
[バックエンドプールの追加] ウィンドウで、 [追加] を選択してバックエンドプールの構成を保存し、 [バックエンド] タブに戻ります。
[バックエンド] タブで、 [次へ:構成] を選択します。

[構成] タブ

[構成] タブで、ルーティング規則を使用して作成したフロントエンドとバックエンドプールを接続します。

[ルーティング規則] 列で [ルーティング規則の追加] を選択します。
開いた [ルーティング規則の追加] ウィンドウで、 [規則名] に「myRoutingRule」と入力します。
ルーティング規則にはリスナーが必要です。 [ルーティング規則の追加] ウィンドウ内の [リスナー] タブで、リスナーの次の値を入力します。
- [リスナー名] :リスナーの名前として「myListener」と入力します。
- [フロントエンド IP] : [パブリック] を選択して、フロントエンド用に作成したパブリック IP を選択します。
- プロトコル: [HTTPS] を選択します。
- ポート:ポートに対して 443 が入力されていることを確認します。
[HTTPS 設定] で以下の操作を行います。
- [証明書の選択] - [証明書のアップロード] を選択します。
- [PFX 証明書ファイル] - 前に作成した c:\appgwcert.pfx ファイルを参照して選択します。
- [証明書名] - 証明書の名前として「mycert1」と入力します。
- [パスワード] - 証明書の作成に使用したパスワードを入力します。
  
  [リスナー] タブで他の設定の既定値をそのまま使用し、 [バックエンドターゲット] タブを選択して、ルーティング規則の残りの部分を構成します。
[バックエンドターゲット] タブで、 [バックエンドターゲット] の [myBackendPool] を選択します。
[HTTP 設定] には [新規追加] を選択して、新しい HTTP 設定を作成します。 HTTP 設定によって、ルーティング規則の動作が決まります。開いた [HTTP 設定の追加] ウィンドウで、 [HTTP 設定名] として「myHTTPSetting」と入力します。 [HTTP 設定の追加] ウィンドウで他の設定の既定値をそのまま使用し、 [追加] を選択して [ルーティング規則の追加] ウィンドウに戻ります。
[ルーティング規則の追加] ウィンドウで [追加] を選択してルーティング規則を保存し、 [構成] タブに戻ります。
タグ、次へ:確認と作成 をクリックします。

[確認と作成] タブ

[確認と作成 ] タブの設定を確認し、 [作成] を選択して、仮想ネットワーク、パブリック IP アドレス、およびアプリケーションゲートウェイを作成します。 Azure によるアプリケーションゲートウェイの作成には数分かかる場合があります。次のセクションに進む前に、デプロイが正常に完了するまで待機します。

バックエンドターゲットの追加

この例では、ターゲットのバックエンドとして仮想マシンを使用します。既存の仮想マシンを使用することも、新しい仮想マシンを作成することもできます。 Azure がアプリケーションゲートウェイのバックエンドサーバーとして使用する 2 つの仮想マシンを作成します。

これを行うには、次を実行します。

バックエンドサーバーとして使用される 2 つの新しい VM (myVM と myVM2) を作成します。
IIS を仮想マシンにインストールして、アプリケーションゲートウェイが正常に作成されたことを確認します。
バックエンドサーバーをバックエンドプールに追加します。

仮想マシンの作成

Azure portal メニューの [+ リソースの作成]>[Compute]>[Windows Server 2016 Datacenter] を選択するか、ポータルの検索ボックスで Windows Server を検索し、[Windows Server 2016 Datacenter] を選択します。
［作成］ を選択します

Application Gateway は、バックエンドプールで使用されているあらゆる種類の仮想マシンにトラフィックをルートできます。この例では、Windows Server 2016 Datacenter を使用します。
[基本] タブで、次の仮想マシンの設定に以下の値を入力します。
- [リソースグループ] :リソースグループ名には、myResourceGroupAG を選択します。
- [仮想マシン名] : 仮想マシンの名前として「myVM」と入力します。
- [ユーザー名] : 管理者ユーザーの名前を入力します。
- パスワード:管理者アカウントのパスワードを入力します。
他の既定値をそのまま使用し、 [Next: ディスク] を選択します。
[ディスク] タブの既定値をそのまま使用し、 [Next: Networking](次へ : ネットワーク) を選択します。
[ネットワーク] タブで、 [仮想ネットワーク] に myVNet が選択されていること、および [サブネット] が myBackendSubnet に設定されていることを確認します。他の既定値をそのまま使用し、 [Next: 管理] を選択します。

Application Gateway は、それが存在している仮想ネットワークの外部にあるインスタンスと通信できますが、IP 接続があることを確認する必要があります。
[管理] タブで、 [ブート診断] を [Disable](無効) に設定します。他の既定値をそのまま使用し、 [確認および作成] を選択します。
[確認および作成] タブで、設定を確認し、検証エラーを修正してから、 [作成] を選択します。
続行する前に、デプロイが完了するまで待ちます。

テスト用の IIS のインストール

この例では、Azure がアプリケーションゲートウェイを正常に作成したことを確認するためにのみ、仮想マシンに IIS をインストールします。

Azure PowerShellを開きます。そのためには、Azure portal の上部のナビゲーションバーで [Cloud Shell] を選択して、ドロップダウンリストで [PowerShell] を選択します。

環境の場所の設定を変更してから、次のコマンドを実行し、仮想マシンに IIS をインストールします。

       Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

2 番目の仮想マシンを作成し、お客様が先ほど完了した手順を使用して IIS をインストールします。仮想マシンの名前と、Set-AzVMExtension コマンドレットの VMName 設定には、myVM2 を使用します。

バックエンドプールヘのバックエンドサーバーの追加

[すべてのリソース] を選択し、myAppGateway を選択します。
左側のメニューで [バックエンドプール] を選択します。
[myBackendPool] を選択します。
[ターゲットの種類] の下のドロップダウンリストで [仮想マシン] を選択します。
[ターゲット] の下で、myVM のドロップダウンリストからネットワークインターフェイスを選択します。
繰り返して、myVM2 のネットワークインターフェイスを追加します。
[保存] を選択します。
デプロイが完了するまで待ってから次の手順に進んでください。

アプリケーションゲートウェイのテスト

[すべてのリソース] を選択し、 [myAGPublicIPAddress] を選択します。
ブラウザーのアドレスバーに「https://<自分のアプリケーションゲートウェイ IP アドレス> 」と入力します。

自己署名証明書を使用した場合、セキュリティ警告を受け入れるには [詳細] (Chrome では [Advanced](詳細設定) ) を選択し、Web ページへ移動します。

セキュリティで保護された IIS Web サイトは、次の例のように表示されます。

リソースをクリーンアップする

リソースグループおよび関連するすべてのリソースは、不要になったら削除します。リソースグループを選択し、 [リソースグループの削除] を選択してください。

次のステップ

このチュートリアルでは、次の作業を行いました。

自己署名証明書を作成しました
証明書を使用するアプリケーションゲートウェイを作成しました

Application Gateway TLS のサポートの詳細については、Application Gateway でのエンドツーエンド TLS と Application Gateway の TLS ポリシーに関するページを参照してください。

Azure portal を使用して複数の Web サイトをホストするアプリケーションゲートウェイを作成および構成する方法について確認するには、次のチュートリアルに進んでください。

複数のサイトをホストする

チュートリアル: Azure portal を使用して TLS 終端でアプリケーション ゲートウェイを構成する