Generowanie certyfikatu z podpisem własnym usługi Azure Application Gateway przy użyciu niestandardowego głównego urzędu certyfikacji

SKU Application Gateway v2 wprowadza użycie zaufanych certyfikatów głównych do umożliwienia połączeń TLS z serwerami zaplecza. To postanowienie powoduje usunięcie użycia certyfikatów uwierzytelniania (pojedynczych certyfikatów liścia), które były wymagane w SKU w wersji 1. Certyfikat roota jest zakodowany w formacie Base-64 X.509 (.CER) z serwera certyfikatów zaplecza. Identyfikuje główny urząd certyfikacji, który wystawił certyfikat serwera, a certyfikat serwera jest następnie używany do komunikacji TLS/SSL.

Usługa Application Gateway ufa certyfikatowi witryny internetowej domyślnie, jeśli jest podpisany przez dobrze znany urząd certyfikacji (na przykład GoDaddy lub DigiCert). Nie musisz bezpośrednio przesyłać certyfikatu głównego w tym przypadku. Aby uzyskać więcej informacji, zobacz Omówienie zakończenia połączenia TLS i kompleksowe szyfrowanie TLS w usłudze Application Gateway. Jeśli jednak masz środowisko deweloperskie/testowe i nie chcesz kupować zweryfikowanego certyfikatu podpisanego przez urząd certyfikacji, możesz utworzyć własny niestandardowy główny urząd certyfikacji i certyfikat liścia podpisany przez ten główny urząd certyfikacji.

Uwaga

Certyfikaty generowane samodzielnie nie są domyślnie zaufane i mogą być trudne do utrzymania. Ponadto mogą używać nieaktualnych zestawów skrótów i szyfrów, które mogą nie być silne. Aby uzyskać lepsze zabezpieczenia, kup certyfikat podpisany przez dobrze znany urząd certyfikacji.

Poniższe opcje umożliwiają wygenerowanie certyfikatu prywatnego dla połączeń TLS zaplecza.

1. Użyj narzędzia generatora certyfikatów prywatnych jednym kliknięciem. Przy użyciu podanej nazwy domeny (nazwa pospolita) to narzędzie wykonuje te same kroki, co opisane w tym artykule w celu wygenerowania certyfikatów głównych i serwerów. Za pomocą wygenerowanych plików certyfikatów można natychmiast przekazać certyfikat główny (.CER) do ustawień zaplecza bramy i odpowiedni łańcuch certyfikatów (.PFX) do serwera zaplecza. Hasło do pliku PFX jest również podane w pobranym pliku ZIP.

2. Użyj poleceń OpenSSL, aby dostosować i wygenerować certyfikaty zgodnie z potrzebami. Kontynuuj wykonywanie instrukcji opisanych w tym artykule, jeśli chcesz to zrobić samodzielnie.

Z tego artykułu dowiesz się, jak wykonywać następujące działania:

• Stwórz własny dedykowany urząd certyfikacji
• Utwórz certyfikat samopodpisany podpisany przez własny urząd certyfikacji
• Przekazywanie certyfikatu głównego z podpisem własnym do usługi Application Gateway w celu uwierzytelnienia serwera zaplecza

Wymagania wstępne

• Program OpenSSL na komputerze z systemem Windows lub Linux

  Chociaż w tym samouczku mogą być dostępne inne narzędzia do zarządzania certyfikatami, w tym samouczku jest używana biblioteka OpenSSL. Pakiet OpenSSL można znaleźć w wielu dystrybucjach systemu Linux, takich jak Ubuntu.

• Serwer internetowy

  Na przykład Apache, IIS lub NGINX do testowania certyfikatów.

• SKU v2 Application Gateway

  Jeśli nie masz istniejącej bramy aplikacji, zobacz Szybki start: bezpośredni ruch internetowy za pomocą usługi Azure Application Gateway — Azure Portal.

Utwórz certyfikat główny urzędu certyfikacji

Utwórz certyfikat głównego urzędu certyfikacji przy użyciu protokołu OpenSSL.

Tworzenie klucza głównego

1. Zaloguj się na komputerze, na którym jest zainstalowany program OpenSSL, i uruchom następujące polecenie. Spowoduje to utworzenie zaszyfrowanego klucza.

   openssl ecparam -out contoso.key -name prime256v1 -genkey
   

Tworzenie certyfikatu głównego i samodzielne podpisywanie go

1. Użyj następującego polecenia, aby wygenerować żądanie podpisania certyfikatu (CSR).

   openssl req -new -sha256 -key contoso.key -out contoso.csr
   

2. Po wyświetleniu monitu, wpisz hasło klucza root oraz informacje organizacyjne dla niestandardowego urzędu certyfikacji, takie jak Kraj/Region, Stan, Organizacja, Jednostka organizacyjna i w pełni kwalifikowana nazwa domeny (jest to domena wystawcy).

   

3. Użyj następującego polecenia, aby wygenerować certyfikat główny.

   openssl x509 -req -sha256 -days 365 -in contoso.csr -signkey contoso.key -out contoso.crt
   

   Poprzednie polecenia tworzą certyfikat główny. Użyjesz go do podpisania certyfikatu serwera.

Tworzenie certyfikatu serwera

Następnie utworzysz certyfikat serwera przy użyciu protokołu OpenSSL.

Tworzenie klucza certyfikatu

Użyj następującego polecenia, aby wygenerować klucz certyfikatu serwera.

openssl ecparam -out fabrikam.key -name prime256v1 -genkey

Tworzenie żądania CSR (żądanie podpisania certyfikatu)

CSR jest dokumentem z kluczem publicznym, który jest przedstawiany urzędowi certyfikacji podczas ubiegania się o certyfikat. Urząd certyfikacji wystawia certyfikat dla tego konkretnego żądania.

Uwaga

Nazwa pospolita certyfikatu serwera musi być inna niż domena wystawcy. Na przykład w tym przypadku cn dla wystawcy jest www.contoso.com i certyfikat serwera CN to www.fabrikam.com.

1. Użyj następującego polecenia, aby wygenerować csr:

   openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr
   

2. Po wyświetleniu monitu wpisz hasło dla klucza korzenia oraz informacje organizacyjne dla niestandardowego CA: Kraj/Region, Stan, Organizacja, Jednostka organizacyjna i w pełni kwalifikowana nazwa domeny. Jest to domena witryny internetowej i powinna być inna niż wystawca.

   

Generowanie certyfikatu przy użyciu certyfikatu CSR i klucza i podpisywanie go przy użyciu klucza głównego urzędu certyfikacji

1. Użyj następującego polecenia, aby utworzyć certyfikat:

   openssl x509 -req -in fabrikam.csr -CA  contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256
   

Weryfikowanie nowo utworzonego certyfikatu

1. Użyj następującego polecenia, aby wydrukować dane wyjściowe pliku CRT i zweryfikować jego zawartość:

   openssl x509 -in fabrikam.crt -text -noout
   

   

2. Sprawdź pliki w katalogu i upewnij się, że masz następujące pliki:

   • contoso.crt
   • contoso.key
   • fabrikam.crt
   • fabrikam.key

Konfigurowanie certyfikatu w ustawieniach protokołu TLS serwera internetowego

Na serwerze internetowym skonfiguruj protokół TLS przy użyciu plików fabrikam.crt i fabrikam.key. Jeśli serwer internetowy nie może pobrać dwóch plików, możesz połączyć je z jednym plikiem pem lub pfx przy użyciu poleceń OpenSSL.

USŁUGI IIS

Aby uzyskać instrukcje dotyczące importowania certyfikatu i przekazywania ich jako certyfikatu serwera w usługach IIS, zobacz HOW TO: Install Import Imported Certificates on a Web Server in Windows Server 2003 (Jak zainstalować zaimportowane certyfikaty na serwerze sieci Web w systemie Windows Server 2003).

Aby uzyskać instrukcje dotyczące powiązania protokołu TLS, zobacz How to Set Up SSL on IIS 7 (Jak skonfigurować protokół SSL w usługach IIS 7).

Apasz

Poniższa konfiguracja to przykładowy host wirtualny skonfigurowany do obsługi protokołu SSL w systemie Apache:

<VirtualHost www.fabrikam:443>
      DocumentRoot /var/www/fabrikam
      ServerName www.fabrikam.com
      SSLEngine on
      SSLCertificateFile /home/user/fabrikam.crt
      SSLCertificateKeyFile /home/user/fabrikam.key
</VirtualHost>

NGINX

Poniższa konfiguracja to przykładowy blok serwera NGINX z konfiguracją protokołu TLS:

Uzyskiwanie dostępu do serwera w celu zweryfikowania konfiguracji

1. Dodaj certyfikat główny do zaufanego głównego magazynu certyfikatów na swojej maszynie. Podczas uzyskiwania dostępu do witryny internetowej upewnij się, że cały łańcuch certyfikatów jest widoczny w przeglądarce.

   

   Uwaga

   Zakłada się, że system DNS został skonfigurowany tak, aby wskazywał nazwę serwera internetowego (w tym przykładzie www.fabrikam.com) na adres IP serwera internetowego. Jeśli nie, możesz edytować plik hostów, aby rozwiązać nazwę.

2. Przejdź do witryny internetowej i kliknij ikonę blokady w polu adresu przeglądarki, aby zweryfikować informacje o witrynie i certyfikacie.

Weryfikowanie konfiguracji za pomocą protokołu OpenSSL

Możesz też użyć protokołu OpenSSL do zweryfikowania certyfikatu.

openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts

Prześlij certyfikat główny do ustawień HTTP usługi Application Gateway

Aby przekazać certyfikat w usłudze Application Gateway, należy wyeksportować certyfikat .crt do formatu .cer zakodowanego jako Base-64. Ponieważ plik crt zawiera już klucz publiczny w formacie zakodowanym w formacie base-64, po prostu zmień nazwę rozszerzenia pliku z crt na .cer.

Portal Azure

Aby załadować zaufany certyfikat główny z portalu, wybierz pozycję Ustawienia zaplecza i wybierz pozycję HTTPS w protokole zaplecza.

Azure PowerShell

Możesz też użyć interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell do przekazania certyfikatu głównego. Poniższy kod jest przykładem programu Azure PowerShell.

Uwaga

Poniższy przykład dodaje zaufany certyfikat główny do bramy aplikacji, tworzy nowe ustawienie HTTP, dodaje nową regułę, zakładając, że pula serwerów zaplecza oraz moduł nasłuchujący już istnieją.

## Add the trusted root certificate to the Application Gateway

$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOne

Add-AzApplicationGatewayTrustedRootCertificate `
   -ApplicationGateway $gw `
   -Name CustomCARoot `
   -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"

$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate `
   -Name CustomCARoot `
   -ApplicationGateway $gw

## Get the listener, backend pool and probe

$listener = Get-AzApplicationGatewayHttpListener `
   -Name basichttps `
   -ApplicationGateway $gw

$bepool = Get-AzApplicationGatewayBackendAddressPool `
  -Name testbackendpool `
  -ApplicationGateway $gw

Add-AzApplicationGatewayProbeConfig `
  -ApplicationGateway $gw `
  -Name testprobe `
  -Protocol Https `
  -HostName "www.fabrikam.com" `
  -Path "/" `
  -Interval 15 `
  -Timeout 20 `
  -UnhealthyThreshold 3

$probe = Get-AzApplicationGatewayProbeConfig `
  -Name testprobe `
  -ApplicationGateway $gw

## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field
## to the domain name of the server certificate as this will be set as the SNI header and
## will be used to verify the backend server's certificate. Note that TLS handshake will
## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probes

Add-AzApplicationGatewayBackendHttpSettings `
  -ApplicationGateway $gw `
  -Name testbackend `
  -Port 443 `
  -Protocol Https `
  -Probe $probe `
  -TrustedRootCertificate $trustedroot `
  -CookieBasedAffinity Disabled `
  -RequestTimeout 20 `
  -HostName www.fabrikam.com

## Get the configuration and update the Application Gateway

$backendhttp = Get-AzApplicationGatewayBackendHttpSettings `
  -Name testbackend `
  -ApplicationGateway $gw

Add-AzApplicationGatewayRequestRoutingRule `
  -ApplicationGateway $gw `
  -Name testrule `
  -RuleType Basic `
  -BackendHttpSettings $backendhttp `
  -HttpListener $listener `
  -BackendAddressPool $bepool

Set-AzApplicationGateway -ApplicationGateway $gw

Weryfikowanie kondycji komponentów zaplecza bramy aplikacji

1. Kliknij widok Kondycja zaplecza bramy aplikacji, aby sprawdzić, czy sonda jest w dobrej kondycji.
2. Powinieneś zobaczyć, że status sondy HTTPS jest Zdrowy.

Następne kroki

Aby dowiedzieć się więcej na temat protokołu SSL\TLS w usłudze Application Gateway, zobacz Omówienie kończenia żądań protokołu TLS i kompleksowego szyfrowania TLS za pomocą usługi Application Gateway.