Application Gateway의 수신기 TLS/SSL 인증서는 게이트웨이에서 클라이언트 TLS 연결을 종료하는 데 사용됩니다. 이 기능은 클라이언트/브라우저에서 TLS/HTTPS 연결을 지원하기 위해 인증서를 웹 서버에 업로드하는 것과 비슷합니다.
TLS 인증서 구조
Application Gateway의 TLS/SSL 인증서는 로컬 인증서 개체 또는 컨테이너에 저장됩니다. 그런 다음, 이 인증서 컨테이너의 참조가 수신기에 제공되어 클라이언트에 대한 TLS 연결을 지원합니다. 더 잘 이해하려면 다음 그림을 참조하세요.
샘플 애플리케이션 게이트웨이 구성은 다음과 같습니다. SSLCertificates 속성에는 키 자격 증명 모음에 연결된 "contoso-agw-cert" 인증서 개체가 포함됩니다. "listener1"은 해당 인증서 개체를 참조합니다.
포털 섹션 이해
수신기 SSL 인증서
이 섹션에서는 애플리케이션 게이트웨이에 있는 모든 SSL 인증서 개체를 나열할 수 있습니다. 이 보기는 Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW PowerShell 명령 또는 az network application-gateway ssl-cert list --gateway-name --resource-group CLI 명령을 실행하는 것과 같습니다.
이 페이지에서는 모든 인증서, 해당 유형 및 수신기와의 연결에 대한 간략한 요약을 제공합니다.
SSL 인증서 유형
Key Vault: 엄격한 액세스 제어 등을 허용하는 관리형 인증서 스토리지 서비스인 Azure Key Vault에 PFX 인증서를 저장할 수 있습니다. Key Vault와 통합에 대해 알아보세요.
업로드됨: PFX 인증서를 애플리케이션 게이트웨이에 직접 제공합니다. 인증서 암호도 필요합니다.
SSL 인증서 수정
목록 보기에서 인증서 이름 또는 3점 메뉴 옵션을 선택하여 [편집] 페이지로 이동할 수 있습니다. 편집 옵션이 유용한 사용 사례는 다음과 같습니다.
인증서의 키 자격 증명 모음 연결 변경 – 인증서의 참조를 한 키 자격 증명 모음 리소스에서 다른 키 자격 증명 모음 리소스로 변경할 수 있습니다. 이 경우 새 키 자격 증명 모음에 대한 충분한 액세스 제어가 애플리케이션 게이트웨이의 사용자가 할당한 관리 ID에 있는지 확인합니다.
업로드된 인증서 갱신 – 기존 업로드된 인증서가 갱신될 예정인 경우 새 PFX 파일을 애플리케이션 게이트웨이의 기존 인증서 개체에 업로드할 수 있습니다.
"키 자격 증명 모음"에서 "업로드됨"으로(또는 그 반대로) 인증서 유형 변경 – 인증서 프로비전을 Application Gateway에 저장된 인증서 프로비전에서 특별히 빌드된 키 자격 증명 모음 서비스로 쉽게 전환할 수 있습니다.
참고
여러 수신기와 연결된 인증서의 변경 내용은 모든 수신기에 반영됩니다. 개별 수신기 정보를 확인하여 관련 수신기를 식별할 수 있습니다.
SSL 인증서 삭제
포털에서 인증서를 삭제하는 경우 두 가지 기본 시나리오가 있습니다.
- 수신기 연결이 없는 SSL 인증서 – 이러한 인증서는 수신기에서 사용하지 않으며 직접 삭제할 수 있습니다.
- 연결된 수신기가 있는 SSL 인증서 – 애플리케이션 게이트웨이의 구성에 따라 이러한 하위 리소스가 영향을 받을 수 있습니다.
| 하위 리소스 | 영향 |
|---|---|
| 인증서 | 인증서 자체가 삭제됩니다. |
| 수신기 | 인증서가 연결된 경우 수신기가 삭제됩니다. |
| 규칙 | 규칙이 수신기와 연결된 경우 수신기와 규칙이 삭제됩니다. |
| 리디렉션 | 리디렉션이 규칙으로 구성된 경우 연결된 리디렉션도 제거됩니다. |
| 포트 | 수신기와 연결된 포트가 새 상태를 반영하도록 업데이트됩니다. |
| 프런트 엔드 IP | 게이트웨이의 프런트 엔드 IP가 새 상태를 반영하도록 업데이트됩니다. |
SSL 인증서를 사용하여 수신기 삭제
연결된 SSL 인증서가 있는 수신기가 삭제되더라도 SSL 인증서 자체는 삭제되지 않습니다. 인증서는 애플리케이션 게이트웨이 구성에 남아 있으며 다른 수신기에 할당할 수 있습니다.
키 자격 증명 모음 인증서 삭제
애플리케이션 게이트웨이에 연결된 키 자격 증명 모음에서 인증서를 삭제할 때는 애플리케이션 게이트웨이에서 먼저 인증서를 삭제한 다음 키 자격 증명 모음에서 삭제해야 합니다.
대량 업데이트
대량 작업 기능은 별도의 수신기에 대해 여러 SSL 인증서가 있는 대형 게이트웨이에 유용합니다. 개별 인증서 관리와 비슷하게 이 옵션을 사용하면 유형을 "업로드됨"에서 "Key Vault"로 또는 그 반대로(필요한 경우) 변경할 수도 있습니다. 또한 이 유틸리티는 여러 인증서 개체에 대한 잘못된 구성이 동시에 발생할 때 게이트웨이를 복구하는 데 유용합니다.
대량 업데이트 옵션을 사용하려면,
확인란을 사용하여 업데이트할 인증서를 선택하고, "대량 업데이트" 메뉴 옵션을 선택합니다.
다음 페이지에서 필요에 따라 각 인증서에 대한 설정을 수정할 수 있습니다. 1단계에서 선택한 항목에 따라 2단계와 3단계에 대해 서로 다른 옵션이 표시됩니다. 따라서 각 인증서 행에 대해 단계별로 진행하는 것이 가장 좋습니다. 여기에 표시되는 인증서는 선택한 항목에 따라 달라집니다. 3점 메뉴 옵션을 사용하여 목록에서 잘못 선택한 인증서를 제거할 수 있습니다.
모든 설정이 업데이트되면 [저장]을 선택합니다.
참고
대량 변경을 수행하는 경우 각 인증서와 연결된 수신기에 주의하세요. 구성에 따라 이 단일 작업에서 여러 인증서와 더 많은 수신기를 업데이트할 수 있습니다. 관련 수신기를 식별하려면 개별 인증서 정보 블레이드를 참조하세요.
제한 사항
연결된 수신기가 다른 수신기의 리디렉션 대상인 경우 인증서 개체를 삭제할 수 없습니다. 이렇게 하려고 하면 다음과 같은 오류가 반환됩니다. 리디렉션을 제거하거나 종속 수신기를 먼저 삭제하여 이 문제를 해결할 수 있습니다.
The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.Application Gateway에는 하나 이상의 활성 수신기 및 규칙 조합이 필요합니다. 따라서 다른 활성 수신기가 없으면 HTTPS 수신기의 인증서를 삭제할 수 없습니다. HTTPS 수신기만 게이트웨이에 있고 모두 동일한 인증서를 참조하는 경우에도 마찬가지입니다. 인증서를 삭제하면 종속된 모든 하위 리소스가 삭제되므로 이러한 작업은 금지됩니다.
키 자격 증명 모음에서 인증서가 삭제되었지만 애플리케이션 게이트웨이에서 인증서에 대한 참조가 삭제되지 않은 경우, 애플리케이션 게이트웨이를 업데이트하면 실패 상태로 표시됩니다. 이 문제를 해결하려면 연결된 수신기 없이 모든 인증서를 하나씩 삭제해야 합니다.
다음 단계
다음을 참조하세요.