次の方法で共有

ポータルを使用して Application Gateway との相互認証を構成する

この記事では、Azure portal を使用して Application Gateway で相互認証を構成する方法について説明します。 相互認証とは、Application Gateway にアップロードしたクライアント証明書を使用して、要求を送信するクライアントを Application Gateway が認証することです。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

開始する前に

Application Gateway との相互認証を構成するには、ゲートウェイにアップロードするクライアント証明書が必要です。 クライアント証明書は、クライアントが Application Gateway に提示する証明書を検証するために使用されます。 テスト目的で、自己署名証明書を使用してもかまいません。 ただし、運用ワークロードでは管理が難しく、完全にセキュリティで保護されていないため、これはお勧めできません。

特にアップロードできるクライアント証明書の種類の詳細については、「 Application Gateway との相互認証の概要」を参照してください。

新しい Application Gateway を作成する

最初に、ポータルで通常と同様に新しい Application Gateway を作成します。相互認証を有効にするために作成に追加の手順は必要ありません。 ポータルで Application Gateway を作成する方法の詳細については、 ポータルのクイックスタート チュートリアルを参照してください。

相互認証を構成する

相互認証を使用して既存の Application Gateway を構成するには、まずポータルの [SSL 設定 ] タブに移動し、新しい SSL プロファイルを作成する必要があります。 SSL プロファイルを作成すると、 クライアント認証SSL ポリシーの 2 つのタブが表示されます。 [クライアント認証] タブでは、クライアント証明書をアップロードします。 [ SSL ポリシー ] タブでは、リスナー固有の SSL ポリシーを構成します。詳細については、「 リスナー固有の SSL ポリシーの構成」を参照してください。

重要

クライアント CA 証明書チェーン全体を 1 つのファイルにアップロードし、ファイルごとにチェーンを 1 つだけアップロードしてください。

  1. ポータルで Application Gateway を検索し、[ アプリケーション ゲートウェイ] を選択して、既存の Application Gateway をクリックします。

  2. 左側のメニューから [SSL 設定 ] を選択します。

  3. 上部にある SSL プロファイル の横にあるプラス記号をクリックして、新しい SSL プロファイルを作成します。

  4. [SSL プロファイル名] に名前を入力します。 この例では、SSL プロファイル applicationGatewaySSLProfile を呼び出します。

  5. [クライアント認証] タブに移動します。[新しい証明書のアップロード] ボタンを使用して、クライアントと Application Gateway の間の相互認証に使用する PEM 証明書をアップロードします。

    ここでアップロードする信頼されたクライアント CA 証明書チェーンを抽出する方法の詳細については、 信頼されたクライアント CA 証明書チェーンを抽出する方法を参照してください。

    これが最初の SSL プロファイルではなく、他のクライアント証明書を Application Gateway にアップロードした場合は、ドロップダウン メニューからゲートウェイ上の既存の証明書を再利用できます。

  6. Application Gateway に クライアント証明書の直近の発行者識別名 を確認させたい場合にのみ、[クライアント証明書発行者の DN の確認] ボックスをオンにします。

  7. リスナー固有のポリシーを追加することを検討してください。 リスナー固有の SSL ポリシーを設定する手順を参照してください。

  8. [ 追加] を選択して保存します。

    SSL プロファイルにクライアント認証を追加する

SSL プロファイルをリスナーに関連付ける

相互認証が構成された SSL プロファイルを作成したので、SSL プロファイルをリスナーに関連付けて、相互認証の設定を完了する必要があります。

  1. 既存の Application Gateway に移動します。 上記の手順を完了した場合は、ここで何もする必要はありません。

  2. 左側のメニューから [リスナー ] を選択します。

  3. HTTPS リスナーがまだ設定されていない場合は、[ リスナーの追加] をクリックします。 HTTPS リスナーが既にある場合は、一覧からそれをクリックします。

  4. 要件に合わせて 、リスナー名フロントエンド IPポートプロトコル、その他 の HTTPS 設定 を入力します。

  5. リスナーに関連付ける SSL プロファイルを選択できるように、[ SSL プロファイルを有効にする] チェック ボックスをオンにします。

  6. ドロップダウン リストから作成した SSL プロファイルを選択します。 この例では、前の手順で作成した SSL プロファイル applicationGatewaySSLProfile を選択します。

  7. 要件に合わせてリスナーの残りの部分を構成し続けます。

  8. [ 追加] をクリックして、SSL プロファイルが関連付けられた新しいリスナーを保存します。

    SSL プロファイルを新しいリスナーに関連付ける

期限切れのクライアント CA 証明書を更新する

クライアント CA 証明書の有効期限が切れている場合は、次の手順でゲートウェイの証明書を更新できます。

  1. Application Gateway に移動し、左側のメニューの [SSL 設定 ] タブに移動します。

  2. 有効期限が切れたクライアント証明書を含む既存の SSL プロファイルを選択します。

  3. [クライアント認証] タブで [新しい証明書のアップロード] を選択し、新しいクライアント証明書をアップロードします。

  4. 有効期限が切れた証明書の横にあるごみ箱アイコンを選択します。 これにより、その証明書の関連付けが SSL プロファイルから削除されます。

  5. 同じ期限切れのクライアント証明書を使用していた他の SSL プロファイルで、上記の手順 2 から 4 を繰り返します。 他の SSL プロファイルのドロップダウン メニューから、手順 3 でアップロードした新しい証明書を選択できます。

次のステップ