Förnya Application Gateway-certifikat

Artikel
10/24/2023

Vid något tillfälle måste du förnya dina certifikat om du har konfigurerat programgatewayen för TLS/SSL-kryptering.

Det finns två platser där certifikat kan finnas: certifikat som lagras i Azure Key Vault eller certifikat som laddats upp till en programgateway.

Certifikat i Azure Key Vault

När Application Gateway har konfigurerats för att använda Key Vault-certifikat hämtar dess instanser certifikatet från Key Vault och installerar dem lokalt för TLS-avslutning. Instanserna avsöker Key Vault med fyra timmars intervall för att hämta en förnyad version av certifikatet om det finns. Om ett uppdaterat certifikat hittas roteras det TLS/SSL-certifikat som för närvarande är associerat med HTTPS-lyssnaren automatiskt.

Dricks

Alla ändringar i Application Gateway tvingar en kontroll mot Key Vault för att se om det finns några nya versioner av certifikat. Detta omfattar, men är inte begränsat till, ändringar i IP-konfigurationer för klientdelen, lyssnare, regler, serverdelspooler, resurstaggar med mera. Om ett uppdaterat certifikat hittas visas det nya certifikatet omedelbart.

Application Gateway använder en hemlig identifierare i Key Vault för att referera till certifikaten. För Azure PowerShell, Azure CLI eller Azure Resource Manager rekommenderar vi starkt att du använder en hemlig identifierare som inte anger någon version. På så sätt roterar Application Gateway automatiskt certifikatet om en nyare version är tillgänglig i nyckelvalvet. Ett exempel på en hemlig URI utan en version är https://myvault.vault.azure.net/secrets/mysecret/.

Certifikat på en programgateway

Application Gateway stöder certifikatuppladdning utan att du behöver konfigurera Azure Key Vault. Om du vill förnya de uppladdade certifikaten använder du följande steg för Azure-portalen, Azure PowerShell eller Azure CLI.

Azure Portal

Om du vill förnya ett lyssnarcertifikat från portalen går du till dina programgatewaylyssnare. Välj lyssnaren som har ett certifikat som måste förnyas och välj sedan Förnya eller redigera det valda certifikatet.

Renew certificate

Ladda upp ditt nya PFX-certifikat, ge det ett namn, skriv lösenordet och välj sedan Spara.

Azure PowerShell

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Om du vill förnya certifikatet med Azure PowerShell använder du följande skript:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Nästa steg

Information om hur du konfigurerar TLS-avlastning med Azure Application Gateway finns i Konfigurera TLS-avlastning.