Application Gateway のリスナーの TLS/SSL 証明書は、ゲートウェイでクライアント TLS 接続を終了するために使用されます。 この機能は、クライアント/ブラウザーからの TLS/HTTPS 接続をサポートするために Web サーバーに証明書をアップロードすることに似ています。
TLS 証明書の構造
アプリケーション ゲートウェイ上の TLS/SSL 証明書は、ローカル証明書オブジェクトまたはコンテナーに格納されます。 その後、クライアントの TLS 接続をサポートするために、この証明書コンテナーの参照がリスナーに提供されます。 理解を深めるために、この図を参照してください。
アプリケーション ゲートウェイ構成のサンプルをこちらに示します。 SSLCertificates プロパティには、キー コンテナーにリンクされた証明書オブジェクト “contoso-agw-cert" が含まれています。 “listener1” は、その証明書オブジェクトを参照します。
ポータル セクションについて
リスナーの SSL 証明書
このセクションでは、アプリケーション ゲートウェイに存在するすべての SSL 証明書オブジェクトを一覧表示できます。 このビューは、PowerShell コマンド Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW または CLI コマンド az network application-gateway ssl-cert list --gateway-name --resource-group を実行することと同じです。
このページには、すべての証明書、その種類、リスナーとの関連付けの簡単な概要が示されています。
SSL 証明書の種類
Key Vault: PFX 証明書を Azure Key Vault に格納できます。これは、厳密なアクセス制御などを可能にするマネージド証明書ストレージ サービスです。 Key Vault との統合に関する記事を参照してください。
アップロード済み: PFX 証明書をアプリケーション ゲートウェイに直接提供します。 証明書のパスワードも必要になります。
SSL 証明書の変更
リスト ビューから、証明書の名前または 3 つのドットのメニュー オプションを選択して、[編集] ページに移動できます。 編集オプションは、次のユース ケースで役立ちます。
証明書のキー コンテナーの関連付けを変更する – 証明書の参照を、あるキー コンテナー リソースから別のものに変更できます。 そのようにする場合、アプリケーション ゲートウェイのユーザー割り当てマネージド ID に、新しいキー コンテナーに対する十分なアクセス制御があることを確認してください。
アップロードされた証明書を更新する – アップロードされた既存の証明書の更新期限が到来したときに、新しい PFX ファイルをアプリケーション ゲートウェイの既存の証明書オブジェクトにアップロードできます。
証明書の種類を "キー コンテナー" から "アップロード済み" (またはその逆) に変更する – Application Gateway に格納されているものから専用の Key Vault サービスに証明書のプロビジョニングを簡単に切り替えることができます。
Note
複数のリスナーに関連付けられている証明書の変更は、すべてのリスナーに反映されます。 個々のリスナー情報を表示して、関連するリスナーを識別できます。
SSL 証明書の削除
ポータルから証明書を削除する場合、次の 2 つの主なシナリオがあります。
- リスナーの関連付けがない SSL 証明書 – このような証明書は、どのリスナーにも使用されていないため、直接削除できます。
- 関連付けられたリスナーを持つ SSL 証明書 – アプリケーション ゲートウェイの構成に基づいて、こちらに示すサブ リソースが影響を受ける可能性があります。
| サブ リソース | 影響 |
|---|---|
| 証明書 | 証明書自体が削除されます。 |
| リスナー | 証明書が関連付けられている場合、そのリスナーは削除されます。 |
| Rule | 規則がリスナーに関連付けられている場合、そのリスナーと規則は削除されます。 |
| リダイレクト | 規則でリダイレクトが構成されている場合、関連付けられているリダイレクトも削除されます。 |
| Port | リスナーに関連付けられているポートは、新しい状態を反映するように更新されます。 |
| フロントエンド IP | ゲートウェイのフロントエンド IP は、新しい状態を反映するように更新されます。 |
SSL 証明書を使用したリスナーの削除
SSL 証明書が関連付けられたリスナーが削除された場合、SSL 証明書自体は削除されません。 証明書はアプリケーション ゲートウェイ構成内に残り、別のリスナーに割り当てることができます。
キー コンテナー証明書の削除
アプリケーション ゲートウェイに関連付けられたキー コンテナーから証明書を削除する場合は、証明書を最初にアプリケーション ゲートウェイで、次にキー コンテナーで削除する必要があります。
一括更新
一括操作機能は、個々のリスナー用に複数の SSL 証明書を持つ大規模なゲートウェイに役立ちます。 個々の証明書管理と同様に、このオプションを使用した場合も、種類を "アップロード済み" から "Key Vault" に、またはその逆に (必要に応じて) 変更できます。 このユーティリティは、複数の証明書オブジェクトの構成の誤りが同時に発生した場合に、ゲートウェイを復旧する際にも役立ちます。
[一括更新] オプションを使用するには、以下のようにします。
更新する証明書をチェック ボックスを使用して選択し、[一括更新] メニュー オプションを選択します。
次のページで、必要に応じて各証明書の設定を変更できます。 手順 1 で選択した内容に基づいて、手順 2 と手順 3 の各種オプションが表示されます。 そのため、証明書の行ごとに順を追って進めるのが最善です。 ここに表示される証明書は、選択内容に基づくものです。 3 つのドットのメニュー オプションを使用して、誤って選択した証明書を一覧から削除できます。
すべての設定が更新されたら、[保存] を選択します。
Note
一括変更を行うときは、各証明書に関連付けられているリスナーに注意してください。 お使いの構成によっては、この 1 回の操作で複数の証明書とさらに多くのリスナーが更新される可能性があります。 関連するリスナーを識別するには、個々の証明書情報ブレードを参照してください。
注意事項
証明書オブジェクトは、それに関連付けられているリスナーが別のリスナーのリダイレクト ターゲットである場合は削除できません。 これを試みると、次のエラーが返されます。 この問題を解決するには、最初にリダイレクトを削除するか、依存するリスナーを削除します。
The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.Application Gateway には、少なくとも 1 つのアクティブなリスナーと規則の組み合わせが必要です。 このため、アクティブなリスナーが他に存在しない場合、HTTPS リスナーの証明書を削除することはできません。 このことは、お使いのゲートウェイに複数の HTTPS リスナーのみが存在し、それらすべてが同じ証明書を参照している場合にも当てはまります。 証明書を削除すると、依存するすべてのサブ リソースが削除されるため、このような操作を行うことはできません。
キー コンテナーで証明書が削除されているが、アプリケーション ゲートウェイ内の証明書への参照が削除されていない場合、アプリケーション ゲートウェイに対する更新は、失敗した状態で表示されます。 これを修正するには、リスナーが関連付けられていない証明書をすべて 1 つずつ削除する必要があります。
次のステップ
以下をお読みください