Certificaten maken om de back-end toe te staan voor Azure Application Gateway

Als u end-to-end TLS wilt uitvoeren, moeten de back-endinstanties van Application Gateway worden toegestaan door verificatie-/vertrouwde basiscertificaten te uploaden. Voor de v1-SKU zijn verificatiecertificaten vereist, maar voor de vertrouwde V2 SKU-basiscertificaten zijn de certificaten toegestaan.

In dit artikel leert u het volgende:

• Verificatiecertificaat exporteren uit een back-endcertificaat (voor v1 SKU)
• Vertrouwd basiscertificaat exporteren vanuit een back-endcertificaat (voor v2 SKU)

Vereisten

Er is een bestaand back-endcertificaat vereist om de verificatiecertificaten of vertrouwde basiscertificaten te genereren die vereist zijn voor het toestaan van back-endinstanties met Application Gateway. Het back-endcertificaat kan hetzelfde zijn als het TLS/SSL-certificaat of anders voor extra beveiliging. Application Gateway biedt geen mechanisme voor het maken of aanschaffen van een TLS/SSL-certificaat. Voor testdoeleinden kunt u een zelfondertekend certificaat maken, maar u moet dit niet gebruiken voor productieworkloads.

Verificatiecertificaat exporteren (voor v1 SKU)

Een verificatiecertificaat is vereist om back-endinstanties toe te staan in Application Gateway v1 SKU. Het verificatiecertificaat is de openbare sleutel van back-endservercertificaten in Met Base-64 gecodeerde X.509(. CER)-indeling. In dit voorbeeld gebruikt u een TLS/SSL-certificaat voor het back-endcertificaat en exporteert u de openbare sleutel die moet worden gebruikt als verificatiecertificering. In dit voorbeeld gebruikt u ook het hulpprogramma Windows Certificate Manager om de vereiste certificaten te exporteren. U kunt ervoor kiezen om elk ander hulpprogramma te gebruiken dat handig is.

Exporteer vanuit uw TLS/SSL-certificaat het CER-bestand van de openbare sleutel (niet de persoonlijke sleutel). Met de volgende stappen kunt u het CER-bestand exporteren in met Base-64 gecodeerde X.509(. CER)-indeling voor uw certificaat:

1. Als u een CER-bestand wilt genereren van het certificaat, opent u Gebruikerscertificaten beheren. Zoek het certificaat, meestal in Certificaten - Huidige gebruiker\Persoonlijk\Certificaten, en klik met de rechtermuisknop. Klik op Alle taken en vervolgens op Exporteren. Hiermee opent u de Wizard Certificaat exporteren. Als u Certificate Manager wilt openen in het huidige gebruikersbereik met behulp van PowerShell, typt u certmgr in het consolevenster.

   Notitie

   Als u het certificaat niet kunt vinden onder Huidige gebruiker\Persoonlijk\Certificaten, hebt u mogelijk per ongeluk 'Certificaten - lokale computer' geopend in plaats van 'Certificaten - Huidige gebruiker').

   

2. Klik in de wizard op Volgende.

   

3. Selecteer Nee, de persoonlijke sleutel niet exporteren en klik vervolgens op Volgende.

   

4. Selecteer op de pagina Bestandsindeling voor export de optie Met Base64 gecodeerde X.509 (*.CER) en klik op Volgende.

   

5. Blader naar de locatie waarnaar u het certificaat wilt exporteren om het bestand te exporteren. Geef bij Bestandsnaam de naam van het certificaatbestand op. Klik op Volgende.

   

6. Klik op Voltooien om het certificaat te exporteren.

   

7. Uw certificaat is geëxporteerd.

   

   Het geëxporteerde certificaat ziet er ongeveer als volgt uit:

   

8. Als u het geëxporteerde certificaat opent met behulp van Kladblok, ziet u iets vergelijkbaars met dit voorbeeld. De sectie in het blauw bevat de informatie die wordt geüpload naar de toepassingsgateway. Als u uw certificaat opent met Kladblok en dit er niet zo uitziet, betekent dit meestal dat u het niet hebt geëxporteerd met behulp van de met Base 64 gecodeerde X.509(). CER)-indeling. Als u een andere teksteditor wilt gebruiken, moet u er bovendien voor zorgen dat sommige editors onbedoelde opmaak op de achtergrond kunnen introduceren. Dit kan problemen veroorzaken bij het uploaden van de tekst van dit certificaat naar Azure.

   

Vertrouwd basiscertificaat exporteren (voor v2 SKU)

Vertrouwd basiscertificaat is vereist om back-endinstanties toe te staan in application gateway v2 SKU. Het basiscertificaat is een met Base-64 gecodeerde X.509(. CER) het basiscertificaat van de back-endservercertificaten opmaken. In dit voorbeeld gebruiken we een TLS/SSL-certificaat voor het back-endcertificaat, exporteren we de openbare sleutel en exporteren we vervolgens het basiscertificaat van de vertrouwde CA uit de openbare sleutel in base64 gecodeerde indeling om het vertrouwde basiscertificaat op te halen. De tussenliggende certificaten moeten worden gebundeld met servercertificaat en geïnstalleerd op de back-endserver.

Met de volgende stappen kunt u het CER-bestand voor uw certificaat exporteren:

1. Gebruik de stappen 1- 8 die in de vorige sectie Verificatiecertificaat exporteren (voor v1 SKU) worden genoemd om de openbare sleutel uit uw back-endcertificaat te exporteren.

2. Nadat de openbare sleutel is geëxporteerd, opent u het bestand.

   

   

3. Ga naar de weergave Certificeringspad om de certificeringsinstantie weer te geven.

   

4. Selecteer het basiscertificaat en klik op Certificaat weergeven.

   

   U ziet nu de details van het basiscertificaat.

   

5. Ga naar de detailweergave en klik op Kopiëren naar bestand...

   

6. Op dit moment hebt u de details van het basiscertificaat uit het back-endcertificaat geëxtraheerd. U ziet de wizard Certificaat exporteren. Gebruik nu stap 2-9 die wordt vermeld in de sectie Verificatiecertificaat exporteren van een back-endcertificaat (voor v1 SKU) hierboven om het vertrouwde basiscertificaat te exporteren in de met Base-64 gecodeerde X.509(). CER)-indeling.

Volgende stappen

Nu hebt u het verificatiecertificaat/vertrouwd basiscertificaat in Base-64 gecodeerd X.509(. CER)-indeling. U kunt dit toevoegen aan de toepassingsgateway om uw back-endservers toe te staan voor end-to-end TLS-versleuteling. Zie End-to-End TLS configureren met Behulp van Application Gateway met PowerShell.