Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Tls/SSL-сертификаты прослушивателя в Шлюз приложений используются для прекращения подключения клиента TLS на шлюзе. Эта функция аналогична отправке сертификата на веб-сервере для поддержки подключений TLS/HTTPS из клиентов или браузеров.
Структура сертификата TLS
Сертификаты TLS/SSL в шлюзе приложений хранятся в локальных объектах или контейнерах сертификатов. Затем ссылка контейнера сертификатов предоставляется прослушивателям для поддержки подключений TLS для клиентов. Ознакомьтесь с этой иллюстрацией для лучшего понимания.
Ниже приведен пример конфигурации шлюза приложений. Свойство SSLCertificates включает объект сертификата contoso-agw-cert, связанный с хранилищем ключей. Прослушиватель1 ссылается на объект сертификата.
Общие сведения о разделе портала
SSL-сертификаты прослушивателя
Этот раздел позволяет перечислить все объекты SSL-сертификата, присутствующих в шлюзе приложений. Это представление эквивалентно выполнению команды Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW PowerShell или команды az network application-gateway ssl-cert list --gateway-name --resource-groupCLI.
На этой странице приведены краткие сведения обо всех сертификатах, их типах и сопоставлении с прослушивателями.
Типы SSL-сертификатов
Key Vault. Вы можете хранить сертификаты PFX в Azure Key Vault, которая является управляемой службой хранилища сертификатов, что позволяет жестко контролировать доступ и многое другое. Узнайте об интеграции с Key Vault.
Отправлено. Укажите сертификат PFX непосредственно в шлюзе приложений. Также требуется пароль сертификата.
Изменение SSL-сертификата
В представлении списка можно выбрать имя сертификата или трехточие меню, чтобы перейти на страницу "Изменить". Параметр редактирования полезен для следующих вариантов использования.
Изменение связи хранилища ключей сертификата — можно изменить ссылку сертификата с одного ресурса хранилища ключей на другой. При этом убедитесь, что управляемое удостоверение, назначаемое пользователем, в шлюзе приложений достаточно элементов управления доступом в новом хранилище ключей.
Продление отправленного сертификата. При продлении существующего отправленного сертификата можно отправить новый PFX-файл в существующий объект сертификата шлюза приложений.
Изменение типа сертификата из "хранилища ключей" на "отправлено" (или наоборот) — вы можете легко перенести подготовку сертификата из той, что хранится в Шлюз приложений, в созданную специально службу Key Vault.
Примечание.
Изменение сертификата, связанного с несколькими прослушивателями, отражается на всех прослушивателях. Вы можете просмотреть отдельные сведения прослушивателя, чтобы определить связанные прослушиватели.
Удаление SSL-сертификата
Существует два основных сценария при удалении сертификата на портале:
- SSL-сертификат без связи прослушивателя. Такие сертификаты не используются прослушивателем и могут быть удалены напрямую.
- SSL-сертификат с соответствующим прослушивателем— на основе конфигурации шлюза приложений эти вложенные ресурсы могут быть затронуты.
| Вложенный ресурс | Воздействие |
|---|---|
| Сертификат | Сам сертификат удаляется. |
| Средство прослушивания | Прослушиватель удаляется, если сертификат связан с ним. |
| Правило | Если правило связано с прослушивателем, прослушиватель и правило удаляются. |
| Перенаправление | Если перенаправление настроено с помощью правила, связанное перенаправление также удаляется. |
| Порт | Порт, связанный с прослушивателем, обновляется, чтобы отразить новое состояние. |
| Интерфейсный IP-адрес | Внешний IP-адрес шлюза обновляется, чтобы отразить новое состояние. |
Удаление прослушивателя с помощью SSL-сертификата
Если прослушиватель с соответствующим SSL-сертификатом удаляется, сам SSL-сертификат не удаляется. Сертификат останется в конфигурации шлюза приложений и может быть назначен другому прослушивателю.
Удаление сертификата хранилища ключей
При удалении сертификата из хранилища ключей, связанного с шлюзом приложений, сертификат необходимо удалить сначала на шлюзе приложений, а затем в хранилище ключей.
Массовое обновление
Функция массовой операции полезна для больших шлюзов с несколькими SSL-сертификатами для отдельных прослушивателей. Аналогично управлению отдельными сертификатами, этот параметр также позволяет изменить тип с "Отправлено" на "Key Vault" или наоборот (при необходимости). Эта служебная программа также полезна при восстановлении шлюза при неправильной настройке для нескольких объектов сертификатов одновременно.
Чтобы использовать параметр массового обновления, выполните следующие действия.
Выберите сертификаты для обновления с помощью флажков и выберите пункт меню "Массовое обновление".
На следующей странице можно изменить параметры каждого сертификата по мере необходимости. На основе выбора на шаге 1 вы увидите различные варианты шага 2 и шага 3. Таким образом, пошаговые инструкции по каждой строке сертификата лучше всего выполнить. Сертификаты, которые вы видите здесь, будут иметь значение для выбора. Вы можете использовать параметр меню с тремя точками, чтобы удалить неправильно выбранный сертификат из списка.
После обновления всех параметров нажмите кнопку "Сохранить".
Примечание.
Помните о прослушивателях, связанных с каждым сертификатом при массовом изменении. В зависимости от конфигурации одна операция может обновлять несколько сертификатов и много других прослушивателей. Обратитесь к колонке сведений о индивидуальном сертификате, чтобы определить связанные прослушиватели.
Предупреждения
Невозможно удалить объект сертификата, если связанный прослушиватель является целевым объектом перенаправления для другого прослушивателя. Любая попытка сделать это вернет следующую ошибку. Вы можете сначала удалить перенаправление или удалить зависимый прослушиватель, чтобы устранить эту проблему.
The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.Для Шлюз приложений требуется по крайней мере одно активное сочетание прослушивателя и правила. Таким образом, невозможно удалить сертификат прослушивателя HTTPS, если другой активный прослушиватель не существует. Это также верно, если в шлюзе есть только прослушиватели HTTPS, и все они ссылаются на один и тот же сертификат. Такие операции не разрешены, так как удаление сертификата приводит к удалению всех зависимых вложенных ресурсов.
Если сертификат удаляется в хранилище ключей, но ссылка на сертификат в Шлюз приложений не удаляется, ни одно обновление Шлюз приложений приведет к тому, что он будет отображаться в состоянии сбоя. Чтобы устранить эту проблему, необходимо удалить все сертификаты без связанного прослушивателя по одному.
Следующие шаги
Дополнительные сведения