Udostępnij za pośrednictwem

Zarządzanie certyfikatami TLS dla odbiorników

Certyfikaty TLS/SSL odbiornika w usłudze Application Gateway są używane do kończenia połączenia TLS klienta w bramie. Ta funkcja jest analogiczna do przekazywania certyfikatu na serwerze internetowym w celu obsługi połączeń TLS/HTTPS z klientów/przeglądarek.

Struktura certyfikatów TLS

Certyfikaty TLS/SSL w bramie aplikacji są przechowywane w lokalnych obiektach certyfikatów lub kontenerach. Odwołanie tego kontenera certyfikatów jest następnie dostarczane do odbiorników w celu obsługi połączeń TLS dla klientów. Zapoznaj się z tą ilustracją, aby lepiej zrozumieć.

Diagram przedstawiający sposób, w jaki certyfikaty są połączone z odbiornikiem.

Oto przykładowa konfiguracja bramy aplikacji. Właściwość SSLCertificates zawiera obiekt certyfikatu "contoso-agw-cert" połączony z magazynem kluczy. Obiekt "listener1" odwołuje się do tego obiektu certyfikatu.

Opis sekcji portalu

Certyfikaty SSL odbiornika

Ta sekcja umożliwia wyświetlenie listy wszystkich obiektów certyfikatów SSL, które znajdują się w bramie aplikacji. Ten widok jest odpowiednikiem uruchamiania polecenia Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW programu PowerShell lub polecenia interfejsu wiersza polecenia az network application-gateway ssl-cert list --gateway-name --resource-group.

Diagram przedstawia zarządzanie certyfikatami odbiornika za pośrednictwem portalu.

Ta strona zawiera krótkie podsumowanie wszystkich certyfikatów, ich typów i skojarzeń z odbiornikami.

Typy certyfikatów SSL

  1. Usługa Key Vault: certyfikaty PFX można przechowywać w usłudze Azure Key Vault, która jest usługą magazynu certyfikatów zarządzanych, umożliwiając ścisłą kontrolę dostępu i znacznie więcej. Dowiedz się więcej o integracji z usługą Key Vault.

  2. Przekazane: podaj certyfikat PFX bezpośrednio do bramy aplikacji. Wymaga również hasła certyfikatu.

Modyfikowanie certyfikatu SSL

W widoku listy możesz wybrać nazwę certyfikatu lub opcję menu z trzema kropkami, aby przejść do strony Edytuj. Opcja edycji jest przydatna w następujących przypadkach użycia.

  • Zmiana skojarzenia magazynu kluczy certyfikatu — możesz zmienić odwołanie certyfikatu z jednego zasobu magazynu kluczy na inny. W tym celu upewnij się, że tożsamość zarządzana przypisana przez użytkownika bramy aplikacji ma wystarczającą kontrolę dostępu w nowym magazynie kluczy.

  • Odnawianie przekazanego certyfikatu — po zakończeniu odnowienia istniejącego przekazanego certyfikatu można przekazać nowy plik PFX do istniejącego obiektu certyfikatu bramy aplikacji.

  • Zmiana typu certyfikatu z "key vault" na "uploaded" (lub na odwrót) — możesz łatwo przenieść aprowizację certyfikatu z magazynu przechowywanego w usłudze Application Gateway do specjalnie utworzonej usługi Key Vault.

Uwaga

Zmiana certyfikatu skojarzonego z wieloma odbiornikami odzwierciedlałaby wszystkie odbiorniki. Możesz wyświetlić informacje o poszczególnych odbiornikach, aby zidentyfikować powiązane odbiorniki.

Usuwanie certyfikatu SSL

Istnieją dwa podstawowe scenariusze usuwania certyfikatu z portalu:

  1. Certyfikat SSL bez żadnego skojarzenia odbiornika — takie certyfikaty nie są używane przez żaden odbiornik i można je usunąć bezpośrednio.
  2. Certyfikat SSL ze skojarzonym odbiornikiem — na podstawie konfiguracji bramy aplikacji te zasoby podrzędne mogą mieć wpływ.
Zasób podrzędny Wpływ
Certyfikat Sam certyfikat zostanie usunięty.
Odbiornik Odbiornik zostanie usunięty, jeśli jest skojarzony z nim certyfikat.
Reguła Jeśli reguła jest skojarzona z odbiornikiem, odbiornik i reguła zostaną usunięte.
Przekierowania Jeśli przekierowanie zostało skonfigurowane z regułą, skojarzone przekierowanie również zostanie usunięte.
Port Port skojarzony z odbiornikiem jest aktualizowany w celu odzwierciedlenia nowego stanu.
Adres IP frontonu Adres IP frontonu bramy zostanie zaktualizowany w celu odzwierciedlenia nowego stanu.

Usuwanie odbiornika z certyfikatem SSL

Gdy odbiornik ze skojarzonym certyfikatem SSL zostanie usunięty, sam certyfikat SSL nie zostanie usunięty. Certyfikat pozostanie w konfiguracji bramy aplikacji i może zostać przypisany do innego odbiornika.

Usuwanie certyfikatu magazynu kluczy

Podczas usuwania certyfikatu z magazynu kluczy skojarzonego z bramą aplikacji należy najpierw usunąć certyfikat w bramie aplikacji, a następnie w magazynie kluczy.

Aktualizacja zbiorcza

Funkcja operacji zbiorczej jest przydatna w przypadku dużych bram z wieloma certyfikatami SSL dla oddzielnych odbiorników. Podobnie jak w przypadku indywidualnego zarządzania certyfikatami, ta opcja umożliwia również zmianę typu z "Uploaded" na "Key Vault" lub na odwrót (jeśli jest to wymagane). To narzędzie jest również przydatne w odzyskiwaniu bramy w przypadku wystąpienia błędów konfiguracji dla wielu obiektów certyfikatów jednocześnie.

Aby użyć opcji zbiorczej aktualizacji,

  1. Wybierz certyfikaty do zaktualizowania przy użyciu pól wyboru i wybierz opcję menu "Aktualizacja zbiorcza".

  2. Na następnej stronie można zmodyfikować ustawienia dla każdego certyfikatu zgodnie z potrzebami. Na podstawie wybranego wyboru w kroku 1 zostaną wyświetlone różne opcje dla kroków 2 i krok 3. W związku z tym najlepiej byłoby przejść krok po kroku dla każdego wiersza certyfikatu. Wyświetlone w tym miejscu certyfikaty będą zgodnie z wyborem. Możesz użyć opcji menu z trzema kropkami, aby usunąć niewłaściwie wybrany certyfikat z listy.

  3. Po zaktualizowaniu wszystkich ustawień wybierz pozycję Zapisz.

Uwaga

Podczas wprowadzania zmian zbiorczych należy pamiętać o odbiornikach skojarzonych z każdym certyfikatem. W zależności od konfiguracji ta pojedyncza operacja może aktualizować wiele certyfikatów i wiele innych odbiorników. Zapoznaj się z blokiem informacji o poszczególnych certyfikatach, aby zidentyfikować powiązane odbiorniki.

Zastrzeżenia

  1. Nie można usunąć obiektu certyfikatu, jeśli skojarzony z nim odbiornik jest obiektem docelowym przekierowania dla innego odbiornika. Każda próba wykonania tej czynności zwróci następujący błąd. Aby rozwiązać ten problem, możesz najpierw usunąć przekierowanie lub usunąć odbiornik zależny. The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.

  2. Usługa Application Gateway wymaga co najmniej jednej aktywnej kombinacji odbiornika i reguły. W związku z tym nie można usunąć certyfikatu odbiornika HTTPS, jeśli nie istnieje żaden inny aktywny odbiornik. Jest to również prawdą, jeśli w bramie znajdują się tylko odbiorniki HTTPS, a wszystkie z nich odwołują się do tego samego certyfikatu. Takie operacje są blokowane, ponieważ usunięcie certyfikatu prowadzi do usunięcia wszystkich zależnych zasobów podrzędnych.

  3. Jeśli certyfikat zostanie usunięty w magazynie kluczy, ale odwołanie do certyfikatu w usłudze Application Gateway nie zostanie usunięte, każda aktualizacja usługi Application Gateway spowoduje wyświetlenie go w stanie niepowodzenia. Aby rozwiązać ten problem, należy usunąć wszystkie certyfikaty bez skojarzonego odbiornika jeden po drugim.

Następne kroki

Przeczytaj o