Delen via

Zelfstudie: Een Toepassingsgateway configureren met TLS-beëindiging met behulp van Azure Portal

  • Artikel

U kunt Azure Portal gebruiken om een ​​toepassingsgateway te configureren met een certificaat voor TLS-beëindiging waarvoor virtuele machines voor back-endservers worden gebruikt.

In deze zelfstudie leert u het volgende:

  • Een zelfondertekend certificaat maken
  • Een toepassingsgateway maken met behulp van het certificaat
  • De virtuele machines maken die als back-endservers worden gebruikt
  • De toepassingsgateway testen

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereisten

  • Een Azure-abonnement

Een zelfondertekend certificaat maken

In deze sectie gebruikt u New-SelfSignedCertificate om een zelfondertekend certificaat te maken. U uploadt het certificaat naar Azure Portal wanneer u de listener voor de toepassingsgateway maakt.

Open als beheerder op uw lokale computer een Windows PowerShell-venster. Voer de volgende opdracht uit om het certificaat te maken:

New-SelfSignedCertificate `
  -certstorelocation cert:\localmachine\my `
  -dnsname www.contoso.com

U zou iets moeten zien dat lijkt op dit antwoord:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my

Thumbprint                                Subject
----------                                -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630  CN=www.contoso.com

Gebruik Export-PfxCertificate met de vingerafdruk die is geretourneerd om een ​​PFX-bestand uit het certificaat te exporteren. De ondersteunde PFX-algoritmen worden vermeld op de functie PFXImportCertStore. Zorg ervoor dat uw wachtwoord tussen de 4 en 12 tekens lang is:

$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
  -cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
  -FilePath c:\appgwcert.pfx `
  -Password $pwd

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een toepassingsgateway maken

  1. Selecteer in het menu van Azure Portal de optie + Een resourcetoepassingsgateway>>maken of zoek naar Application Gateway in het zoekvak van de portal.

  2. Selecteer Maken.

Tabblad Basisbeginselen

  1. Voer op het tabblad Basisbeginselen de volgende waarden in of selecteer deze:

    • Resourcegroep: Selecteer myResourceGroupAG voor de resourcegroep. Als deze nog niet bestaat, selecteert u Nieuwe maken om deze te maken.

    • Naam van toepassingsgateway: Voer myAppGateway in als naam van de toepassingsgateway.

      Schermopname van het maken van de basisbeginselen van een nieuwe toepassingsgateway.

  2. Er is een virtueel netwerk nodig voor communicatie tussen de resources die u maakt. U kunt een nieuw virtueel netwerk maken of een bestaand gebruiken. In dit voorbeeld maakt u een virtueel netwerk op hetzelfde moment dat u de toepassingsgateway maakt. Instanties van toepassingsgateways worden in afzonderlijke subnetten gemaakt. In dit voorbeeld maakt u twee subnetten: één voor de toepassingsgateway en één voor de back-endservers.

    Maak onder Virtueel netwerk configureren een nieuw virtueel netwerk door Nieuw netwerk maken te selecteren. Voer in het venster Virtueel netwerk maken dat wordt geopend, de volgende waarden in om het virtuele netwerk en twee subnetten te maken:

    • Naam: Voer myVNet in als naam van het virtuele netwerk.

    • Subnetnaam (Application Gateway-subnet): in het subnetraster wordt een subnet met de naam Default weergegeven. Wijzig de naam van dit subnet in myAGSubnet.
      Het subnet van de toepassingsgateway kan alleen bestaan uit toepassingsgateways. Andere resources zijn niet toegestaan.

    • Subnetnaam (back-endserversubnet): Voer in de tweede rij van het raster Subnetten myBackendSubnet in de kolom Subnetnaam in.

    • Adresbereik (back-endserversubnet): Voer in de tweede rij van het subnettenraster een adresbereik in dat niet overlapt met het adresbereik van myAGSubnet. Als het adresbereik van myAGSubnet bijvoorbeeld 10.0.0.0/24 is, voert u 10.0.1.0/24 in voor het adresbereik van myBackendSubnet.

    Selecteer OK om het venster Virtueel netwerk maken te sluiten en de instellingen van het virtuele netwerk op te slaan.

    Schermopname van het maken van een nieuw virtueel toepassingsgatewaynetwerk.

  3. Accepteer op het tabblad Basisbeginselen de standaardwaarden voor de andere instellingen en selecteer vervolgens Volgende: Front-ends.

Tabblad Front-ends

  1. Controleer in het tabblad Frontends of Front-end-IP-adres is ingesteld op Openbaar.
    U kunt afhankelijk van uw use-case het Frontend-IP configureren als openbaar of privé. In dit voorbeeld kiest u een openbaar front-end-IP.

    Notitie

    Voor de Application Gateway v2 SKU kunt u alleen een openbare front-end-IP-configuratie kiezen. De privé frontend-IP-configuratie is op dit moment niet ingeschakeld voor deze v2-SKU.

  2. Kies Nieuw toevoegen voor het openbare IP-adres en voer myAGPublicIPAddress in voor de naam van het openbare IP-adres en selecteer VERVOLGENS OK.

    Schermopname van het maken van een nieuwe front-end voor de toepassingsgateway.

  3. Selecteer Volgende: Back-ends.

Tabblad Back-ends

De back-endpool word gebruikt om aanvragen te routeren naar de back-endservers die de aanvraag verwerken. Back-endpools kunnen bestaan uit NIC's, virtuele-machineschaalsets, openbare IP's, interne IP's, FQDN's (Fully Qualified Domain Names) en back-ends met meerdere tenants, zoals Azure-app Service. In dit voorbeeld maakt u een lege back-endpool met uw toepassingsgateway en voegt u vervolgens back-enddoelen toe aan de back-endpool.

  1. Selecteer Een back-endpool toevoegen op het tabblad Back-ends.

  2. Voer in het venster Een back-endpool toevoegen dat wordt geopend, de volgende waarden in om een lege back-endpool te maken:

    • Naam: Voer myBackendPool in als de naam van de back-endpool.
    • Back-endpool zonder doelen toevoegen: Selecteer Ja als u een back-endpool zonder doelen wilt maken. U voegt na het maken van de toepassingsgateway de back-enddoelen toe.

  3. Selecteer in het venster Een back-endpool maken de optie Toevoegen om de configuratie van de back-endpool op te slaan en terug te keren naar het tabblad Back-ends.

    Schermopname van het maken van een nieuwe toepassingsgateway-back-ends.

  4. Selecteer volgende op het tabblad Back-ends: Configuratie.

Tabblad Configuratie

In het tabblad Configuratie verbindt u de front-end- en de back-endpool die u hebt gemaakt met een regel voor doorsturen.

  1. Selecteer Een routeringsregel toevoegen in de kolom Routeringsregels.

  2. Voer in het venster Een regel voor doorsturen toevoegen dat wordt geopend, myRoutingRule in als de Regelnaam.

  3. Voor een regel voor doorsturen is een listener vereist. Voer in het tabblad Listener in het venster Een regel voor doorsturen toevoegen de volgende waarden in voor de listener:

    • Naam van listener: Voer myListener in als naam van de listener.
    • Front-end-IP: Selecteer Openbaar om het openbare IP-adres te kiezen dat u voor de front-end hebt gemaakt.
    • Protocol: selecteer HTTPS.
    • Poort: Controleer of 443 is ingevoerd voor de poort.

    Onder HTTPS-instellingen:

    • Kies een certificaat - Selecteer Een certificaat uploaden.

    • PFX-certificaatbestand: blader naar en het bestand c:\appgwcert.pfx dat u eerder hebt gemaakt en selecteer het bestand.

    • Certificaatnaam: voer mycert1 in als de naam van het certificaat.

    • Wachtwoord : typ het wachtwoord dat u hebt gebruikt om het certificaat te maken.

      Accepteer de standaardwaarden voor de overige instellingen in het tabblad Listener en selecteer vervolgens het tabblad Back-enddoelen om de rest van de regel voor doorsturen te configureren.

    Schermopname van het maken van een nieuwe listener voor de toepassingsgateway.

  4. Selecteer in het tabblad Back-enddoelen de optie myBackendPool als het Back-enddoel.

  5. Voor de HTTP-instelling selecteert u Nieuwe toevoegen om een nieuwe HTTP-instelling te maken. De HTTP-instelling bepaalt het gedrag van de regel voor doorsturen. Voer in het venster Een HTTP-instelling toevoegen dat wordt geopend myHTTPSetting in voor de naam van de HTTP-instelling. Accepteer de standaardwaarden voor de andere instellingen in het venster Een HTTP-instelling toevoegen en selecteer vervolgens Toevoegen om terug te keren naar het venster Een routeringsregel toevoegen.

    Schermopname van het toevoegen van de instelling H T T P op het tabblad Configuratie van Nieuwe toepassingsgateway maken

  6. Selecteer in het venster Een regel voor doorsturen toevoegen de optie Toevoegen om de routeringsregel op te slaan en terug te keren naar het tabblad Configuratie.

    Schermopname van het maken van een nieuwe regel voor toepassingsgatewayroutering.

  7. Selecteer Volgende: Tags en vervolgens Volgende: Beoordelen en maken.

Tabblad Beoordelen en maken

Controleer de instellingen op het tabblad Beoordelen en maken en selecteer vervolgens Maken om het virtuele netwerk, het openbare IP-adres en de toepassingsgateway te maken. Het kan enkele minuten duren om de toepassingsgateway te maken in Azure. Wacht totdat de implementatie is voltooid voordat u doorgaat met de volgende sectie.

Back-enddoelen toevoegen

In dit voorbeeld gebruikt u virtuele machines als het doelback-end. U kunt bestaande virtuele machines gebruiken of nieuwe maken. U maakt twee virtuele machines die in Azure worden gebruikt als back-endservers voor de toepassingsgateway.

Hiervoor moet u het volgende doen:

  1. Maak twee nieuwe virtuele machines, myVM en myVM2 om te gebruiken als back-endservers.
  2. Installeer IIS op de virtuele machines om te controleren of de toepassingsgateway is gemaakt.
  3. Voeg de back-endservers toe aan de back-endpool.

Maak een virtuele machine

  1. Selecteer in het menu van Azure Portal de optie + Een resource>maken>voor Windows Server 2016 Datacenter of zoek naar Windows Server in het zoekvak van de portal en selecteer Windows Server 2016 Datacenter.

  2. Selecteer Maken.

    Toepassingsgateway kan verkeer routeren naar ieder type virtuele machine dat wordt gebruikt in de back-endpool. In dit voorbeeld gebruikt u een Windows Server 2016-gegevenscentrum.

  3. Voer deze waarden in op het tabblad Basisinformatie voor de volgende instellingen voor de virtuele machine:

    • Resourcegroep: selecteer myResourceGroupAG voor de naam van de resourcegroep.
    • Naam van virtuele machine: voer myVM in als naam van de virtuele machine.
    • Gebruikersnaam: Voer een naam in voor de gebruikersnaam van de beheerder.
    • Wachtwoord: voer een wachtwoord in voor het beheerdersaccount.

  4. Accepteer de overige standaardwaarden en selecteer vervolgens Volgende: Schijven.

  5. Accepteer de standaardinstellingen van het tabblad Schijven en selecteer vervolgens Volgende: Netwerken.

  6. Zorg ervoor dat, op het tabblad Netwerken, myVNet is geselecteerd bij Virtueel netwerk en dat Subnet is ingesteld op myBackendSubnet. Accepteer de overige standaardwaarden en selecteer vervolgens Volgende: Beheer.

    Toepassingsgateway kan communiceren met instanties die zich buiten het virtuele netwerk van de gateway bevinden, maar u moet ervoor zorgen dat er een IP-verbinding is.

  7. Op het tabblad Beheer stelt u Diagnostische gegevens over opstarten in op Uitschakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  8. Controleer de instellingen op het tabblad Beoordelen en maken, corrigeer eventuele validatiefouten en selecteer vervolgens Maken.

  9. Wacht tot de implementatie is voltooid voordat u doorgaat.

IIS installeren voor testen

In dit voorbeeld installeert u IIS alleen op de virtuele machines om te controleren of de toepassingsgateway in Azure is gemaakt.

  1. Open Azure PowerShell. Hiertoe selecteert u Cloud Shell in de bovenste navigatiebalk van de Azure-portal en vervolgens PowerShell in de vervolgkeuzelijst.

    Schermopname van het installeren van de aangepaste extensie.

  2. Wijzig de locatie-instelling voor uw omgeving en voer vervolgens de volgende opdracht uit om IIS op de virtuele machine te installeren:

           Set-AzVMExtension `
         -ResourceGroupName myResourceGroupAG `
         -ExtensionName IIS `
         -VMName myVM `
         -Publisher Microsoft.Compute `
         -ExtensionType CustomScriptExtension `
         -TypeHandlerVersion 1.4 `
         -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
         -Location <location>

  3. Maak een tweede virtuele machine en installeer IIS met behulp van de stappen die u zojuist hebt voltooid. Gebruik myVM2 als naam voor de virtuele machine en voor de instelling VMName van de cmdlet Set-AzVMExtension.

Back-endservers toevoegen aan de back-endpool

  1. Selecteer Alle resources en vervolgens myAppGateway.

  2. Selecteer Back-endpools in het linkermenu.

  3. Selecteer myBackendPool.

  4. Selecteer onder Doeltype virtuele machine in de vervolgkeuzelijst.

  5. Selecteer onder Doel de netwerkinterface onder myVM in de vervolgkeuzelijst.

  6. Herhaal dit om de netwerkinterface voor myVM2 toe te voegen.

    Schermopname van het toevoegen van back-endservers.

  7. Selecteer Opslaan.

  8. Wacht tot de implementatie is voltooid voordat u doorgaat met de volgende stap.

De toepassingsgateway testen

  1. Selecteer Alle resources en vervolgens myAGPublicIPAddress.

    Schermopname van het vinden van het openbare IP-adres van de toepassingsgateway.

  2. Typ in de adresbalk van uw browser https://< adres van de toepassingsgateway>.

    Voor het accepteren van de beveiligingswaarschuwing als u een zelfondertekend certificaat hebt gebruikt, selecteert u Details (of Geavanceerd in Chrome) en gaat u vervolgens naar de webpagina:

    Schermopname van een beveiligingswaarschuwing voor de browser.

    Uw beveiligde IIS-website wordt vervolgens weergegeven zoals in het volgende voorbeeld:

    Schermopname van het testen van de basis-URL in application gateway.

Resources opschonen

Verwijder de resourcegroep en alle gerelateerde resources als u deze niet meer nodig hebt. Selecteer hiervoor de resourcegroep en klik op Resourcegroep verwijderen.

Volgende stappen

In deze zelfstudie hebt u:

  • Een zelfondertekend certificaat gemaakt
  • Een toepassingsgateway met het certificaat gemaakt

Zie end-to-end TLS met Application Gateway- en Application Gateway TLS-beleid voor meer informatie over application gateway-TLS-ondersteuning.

Als u wilt weten hoe u een Toepassingsgateway maakt en configureert voor het hosten van meerdere websites met behulp van Azure Portal, gaat u verder met de volgende zelfstudie.

Meerdere sites hosten