Konfigurera en Application Gateway-lyssnare för kryptering
Du har konfigurerat SSL för anslutningen mellan Azure Application Gateway och servrarna i serverdelspoolen. För leveransportalen behöver du en heltäckande kryptering från slutpunkt till slutpunkt. Om du vill göra den här krypteringen måste du också kryptera de meddelanden som klienten skickar till Application Gateway.
Skapa en klientdelsport
Application Gateway tar emot begäranden via en eller flera portar. Om du kommunicerar med gatewayen via HTTPS ska du konfigurera en SSL-port. Traditionellt används port 443 för HTTPS. Använd sedan kommandot az network application-gateway frontend-port create till att skapa en ny klientdelsport. I följande exempel visas hur du skapar en klientdelsport för port 443:
az network application-gateway frontend-port create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name my-https-port \
--port 443
Konfigurera en lyssnare
En lyssnare väntar på inkommande trafik till en gateway via en angiven klientdelsport. Den här trafiken dirigeras sedan till en server i serverdelspoolen. Om klientdelsporten använder SSL måste du ange vilket certifikat som ska användas till att dekryptera inkommande meddelanden. Certifikatet innehåller den privata nyckeln.
Du kan lägga till certifikatet med kommandot az network application-gateway ssl-cert create. Certifikatfilen ska vara i formatet PFX. Eftersom den här filen innehåller den privata nyckeln bör den förmodligen även vara lösenordsskyddad. Du anger lösenordet i argumentet cert-password, se följande exempel.
az network application-gateway ssl-cert create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name shipping-ssl.crt \
--cert-file shippingportal/server-config/shipping-ssl.pfx \
--cert-password <password for certificate file>
Du kan sedan skapa lyssnaren som tar emot förfrågningar via klientdelsporten och dekrypterar dem med hjälp av det här certifikatet. Använd kommandot az network application-gateway http-listener create.
az network application-gateway http-listener create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name http-listener \
--frontend-port my-https-port \
--ssl-cert shipping-ssl.crt
Definiera en regel för att skicka HTTPS-begäranden till servrarna
Det sista steget är att skapa en regel som dirigerar inkommande meddelanden via lyssnaren till servrarna i serverdelspoolen. Meddelandena som tas emot via klientdelsporten dekrypteras med hjälp av SSL-certifikatet som angetts för lyssnaren. Du måste kryptera om dessa meddelanden med certifikatet för klientsidan innan de skickas till servrarna i serverdelspoolen. Du definierar den här informationen i regeln.
I följande exempel visas hur du använder kommandot az network application-gateway rule create till att skapa en regel som ansluter en lyssnare till en serverdelspool. Parametern --http-settings anger DE HTTP-inställningar som refererar till certifikatet på klientsidan för servrarna. Du skapade de här inställningarna i föregående lektion.
az network application-gateway rule create \
--resource-group $rgName \
--gateway-name gw-shipping \
--name app-gw-rule \
--address-pool ap-backend \
--http-listener http-listener \
--http-settings https-settings \
--rule-type Basic
--priority 101
Nu ska du ha en heltäckande kryptering för meddelanden som dirigeras via Application Gateway. Klienterna använder SSL-certifikatet för Application Gateway till att skicka meddelanden. Application Gateway dekrypterar dessa meddelanden med hjälp av det här SSL-certifikatet. Sedan krypteras meddelandena igen med hjälp av certifikatet för servrarna i serverdelspoolen.