Поделиться через

Настройка сквозного подключения TLS для Шлюза приложений с помощью портала

  • Статья

В этой статье описывается, как использовать портал Azure для настройки сквозного шифрования TLS, ранее известного как шифрование SSL, с помощью SKU Шлюза приложений Azure версии 1.

Примечание.

Номер SKU Шлюза приложений версии 2 требует доверенных корневых сертификатов для включения сквозной конфигурации.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Подготовка к работе

Чтобы настроить сквозное шифрование TLS для шлюза приложений, вам понадобится сертификат для шлюза. Сертификаты также требуются для внутренних серверов. Сертификат шлюза используется для получения симметричного ключа в соответствии со спецификацией протокола TLS. Затем симметричный ключ используется для шифрования и расшифровки трафика, отправляемого на шлюз.

Для сквозного шифрования TLS правые серверные серверы должны быть разрешены в шлюзе приложений. Чтобы разрешить этот доступ, отправьте общедоступный сертификат внутренних серверов, также известный как сертификаты проверки подлинности (версии 1) или доверенные корневые сертификаты (версии 2) в шлюз приложений. Добавление сертификата гарантирует, что шлюз приложений взаимодействует только с известными экземплярами серверной части. Эта конфигурация дополнительно защищает сквозную связь.

Важно!

Если вы получаете сообщение об ошибке для внутреннего сертификата сервера, убедитесь, что внешний сертификат common name (CN) соответствует внутреннему сертификату CN. Дополнительные сведения см. в разделе о несоответствии доверенного корневого сертификата

Дополнительные сведения см. в обзоре завершения сеансов TLS и использования сквозного режима TLS в Шлюзе приложений.

Создание нового шлюза приложений со сквозным шифрованием TLS

Чтобы создать шлюз приложений со сквозным шифрованием TLS, необходимо сначала включить завершение TLS при создании нового шлюза приложений. Это действие включает шифрование TLS для обмена данными между клиентом и шлюзом приложений. Затем необходимо поместить в список получателей Сейф сертификаты для внутренних серверов в параметрах HTTP. Эта конфигурация обеспечивает шифрование TLS для обмена данными между шлюзом приложений и серверными серверами. Она позволяет выполнять сквозное шифрование TLS.

Включение завершения TLS при создании нового шлюза приложений

Дополнительные сведения см. в разделе Включение завершения TLS при создании нового шлюза приложений.

Добавление сертификатов проверки подлинности и корневых сертификатов внутренних серверов

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите Параметры HTTP в меню слева. Azure автоматически создает параметр HTTP по умолчанию appGatewayBackendHttpSettings при создании шлюза приложений.

  3. Выберите appGatewayBackendHttpSettings.

  4. В разделе Protocol (Протокол) выберите HTTPS. Появится панель для внутренних сертификатов проверки подлинности или доверенных корневых сертификатов.

  5. Выберите Создать.

  6. В поле Имя введите подходящее имя.

  7. Выберите файл сертификата в поле Отправить CER-сертификат.

    Для шлюзов приложений standard и WAF (версии 1) необходимо передать открытый ключ сертификата внутреннего сервера в cer-формате.

    Add certificate

    Для Standard_v2 и WAF_v2 шлюзов приложений необходимо отправить корневой сертификат сертификата серверного сервера в cer-формате. Если серверный сертификат выдан хорошо известным центром сертификации (ЦС), можно выбрать поле "Использовать известный сертификат ЦС" проверка, а затем не нужно отправлять сертификат.

    Add trusted root certificate

    Root certificate

  8. Выберите Сохранить.

Включение сквозного протокола TLS для имеющегося шлюза приложений

Чтобы настроить имеющийся шлюз приложений с комплексным шифрованием TLS, необходимо сначала включить завершение TLS в прослушивателе. Это действие включает шифрование TLS для обмена данными между клиентом и шлюзом приложений. Затем поместите эти сертификаты для внутренних серверов в параметры HTTP в списке получателей Сейф. Эта конфигурация обеспечивает шифрование TLS для обмена данными между шлюзом приложений и серверными серверами. Она позволяет выполнять сквозное шифрование TLS.

Для включения завершения TLS необходимо использовать прослушиватель с протоколом HTTPS и сертификатом. Можно либо использовать имеющийся прослушиватель, который соответствует этим условиям, либо создать новый прослушиватель. Если выбран первый вариант, можно проигнорировать следующий раздел "Включение завершения TLS в имеющемся шлюзе приложений" и перейти непосредственно к разделу "Добавление доверенных сертификатов проверки подлинности или корневых сертификатов для внутренних серверов".

При выборе второго варианта примените действия, описанные в следующей процедуре.

Включение завершения TLS в имеющемся шлюзе приложений

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. В меню слева выберите пункт Прослушиватели.

  3. Выберите Простой или Многосайтовый прослушиватель в зависимости от ваших требований.

  4. В разделе Protocol (Протокол) выберите HTTPS. Появится панель Сертификат.

  5. Отправьте PFX-сертификат, который планируется использовать для завершения TLS между клиентом и шлюзом приложений.

    Примечание.

    В целях тестирования можно создать самозаверяющий сертификат. Однако это не рекомендуется для производственных рабочих нагрузок, поскольку ими сложнее управлять и они не полностью защищены. Дополнительные сведения см. в разделе Создание самозаверяющего сертификата.

  6. Добавьте другие обязательные параметры для параметра Прослушиватель в зависимости от требований.

  7. Нажмите кнопку ОК, чтобы сохранить введенные данные.

Добавление доверенных корневых сертификатов проверки подлинности и доверенных корневых сертификатов внутренних серверов

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите Параметры HTTP в меню слева. Вы можете поместить сертификаты в существующий параметр HTTP серверной части в списке получателей Сейф или создать новый параметр HTTP. (На следующем шаге сертификат для параметра HTTP по умолчанию, appGatewayBackendHttpSettings, добавляется в список "Надежные получатели".)

  3. Выберите appGatewayBackendHttpSettings.

  4. В разделе Protocol (Протокол) выберите HTTPS. Появится панель для внутренних сертификатов проверки подлинности или доверенных корневых сертификатов.

  5. Выберите Создать.

  6. В поле Имя введите подходящее имя.

  7. Выберите файл сертификата в поле Отправить CER-сертификат.

    Для шлюзов приложений standard и WAF (версии 1) необходимо передать открытый ключ сертификата внутреннего сервера в cer-формате.

    Add certificate

    Для Standard_v2 и WAF_v2 шлюзов приложений необходимо отправить корневой сертификат сертификата серверного сервера в cer-формате. Если серверный сертификат выдан хорошо известным ЦС, можно выбрать поле "Использовать известный сертификат ЦС" проверка, а затем не нужно отправлять сертификат.

    Add trusted root certificate

  8. Выберите Сохранить.

Следующие шаги

Руководство по управлению веб-трафиком с помощью шлюза приложений и Azure CLI