Dela via

Konfigurera ömsesidig autentisering med Application Gateway via portalen

  • Artikel

Den här artikeln beskriver hur du använder Azure-portalen för att konfigurera ömsesidig autentisering på din Application Gateway. Ömsesidig autentisering innebär att Application Gateway autentiserar klienten som skickar begäran med det klientcertifikat som du överför till Application Gateway.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Innan du börjar

För att konfigurera ömsesidig autentisering med en Application Gateway behöver du ett klientcertifikat för att ladda upp till gatewayen. Klientcertifikatet används för att verifiera certifikatet som klienten ska presentera för Application Gateway. I testsyfte kan du använda ett självsignerat certifikat. Detta rekommenderas dock inte för produktionsarbetsbelastningar eftersom de är svårare att hantera och inte är helt säkra.

Mer information, särskilt om vilken typ av klientcertifikat du kan ladda upp, finns i Översikt över ömsesidig autentisering med Application Gateway.

Skapa en ny Application Gateway

Skapa först en ny Application Gateway som vanligt via portalen – det finns inga ytterligare steg som krävs för att skapa en ömsesidig autentisering. Mer information om hur du skapar en Application Gateway i portalen finns i vår snabbstartsguide för portalen.

Konfigurera ömsesidig autentisering

För att konfigurera en befintlig Application Gateway med ömsesidig autentisering måste du först gå till fliken SSL-inställningar i portalen och skapa en ny SSL-profil. När du skapar en SSL-profil visas två flikar: Klientautentisering och SSL-princip. Fliken Klientautentisering är den plats där du laddar upp dina klientcertifikat. Fliken SSL-princip är att konfigurera en lyssnarspecifik SSL-princip – mer information finns i Konfigurera en lyssnarspecifik SSL-princip.

Viktigt!

Se till att du laddar upp hela certifikatkedjan för klientcertifikatutfärdare i en fil och endast en kedja per fil.

  1. Sök efter Application Gateway i portalen, välj Programgatewayer och klicka på din befintliga Application Gateway.

  2. Välj SSL-inställningar på menyn till vänster.

  3. Klicka på plustecknet bredvid SSL-profiler längst upp för att skapa en ny SSL-profil.

  4. Ange ett namn under SSL-profilnamn. I det här exemplet anropar vi vårt SSL-profilprogramGatewaySSLProfile.

  5. Stanna kvar på fliken Klientautentisering . Ladda upp DET PEM-certifikat som du tänker använda för ömsesidig autentisering mellan klienten och Application Gateway med hjälp av knappen Ladda upp ett nytt certifikat .

    Mer information om hur du extraherar certifikatkedjor för betrodd klientcertifikatutfärdare som ska laddas upp här finns i hur du extraherar certifikatkedjor för betrodd klientcertifikatutfärdare.

    Kommentar

    Om detta inte är din första SSL-profil och du har laddat upp andra klientcertifikat till Din Application Gateway kan du välja att återanvända ett befintligt certifikat på din gateway via den nedrullningsbara menyn.

  6. Markera endast rutan Verifiera klientcertifikatutfärdarens DN om du vill att Application Gateway ska verifiera klientcertifikatets omedelbara utfärdare Distinguished Name.

  7. Överväg att lägga till en lyssnarspecifik princip. Se anvisningar för hur du konfigurerar lyssnarspecifika SSL-principer.

  8. Välj Lägg till för att spara.

    Add client authentication to SSL profile

Associera SSL-profilen med en lyssnare

Nu när vi har skapat en SSL-profil med ömsesidig autentisering konfigurerad måste vi associera SSL-profilen med lyssnaren för att slutföra konfigurationen av ömsesidig autentisering.

  1. Navigera till din befintliga Application Gateway. Om du precis har slutfört stegen ovan behöver du inte göra något här.

  2. Välj Lyssnare på menyn till vänster.

  3. Klicka på Lägg till lyssnare om du inte redan har konfigurerat en HTTPS-lyssnare. Om du redan har en HTTPS-lyssnare klickar du på den i listan.

  4. Fyll i lyssnarnamnet, klientdelens IP-adress, port, protokoll och andra HTTPS-Inställningar så att de passar dina behov.

  5. Markera kryssrutan Aktivera SSL-profil så att du kan välja vilken SSL-profil som ska associeras med lyssnaren.

  6. Välj den SSL-profil som du nyss skapade i listrutan. I det här exemplet väljer vi den SSL-profil som vi skapade från de tidigare stegen: applicationGatewaySSLProfile.

  7. Fortsätt att konfigurera resten av lyssnaren så att den passar dina behov.

  8. Klicka på Lägg till för att spara den nya lyssnaren med den SSL-profil som är kopplad till den.

    Associate SSL profile to new listener

Förnya certifikat för klientcertifikatutfärdare som har upphört att gälla

Om klientcertifikatutfärdarcertifikatet har upphört att gälla kan du uppdatera certifikatet på din gateway genom följande steg:

  1. Gå till Application Gateway och gå till fliken SSL-inställningar i den vänstra menyn.

  2. Välj de befintliga SSL-profilerna med det utgångna klientcertifikatet.

  3. Välj Ladda upp ett nytt certifikatfliken Klientautentisering och ladda upp det nya klientcertifikatet.

  4. Välj papperskorgsikonen bredvid certifikatet som har upphört att gälla. Detta tar bort associationen för certifikatet från SSL-profilen.

  5. Upprepa steg 2–4 ovan med andra SSL-profiler som använde samma utgångna klientcertifikat. Du kommer att kunna välja det nya certifikat som du laddade upp i steg 3 från listrutan i andra SSL-profiler.

Nästa steg