Azure Application Gateway ile arka uca izin vermek için sertifika oluşturma
Uçtan uca TLS yapmak için Application Gateway, kimlik doğrulaması/güvenilen kök sertifikaları karşıya yükleyerek arka uç örneklerine izin verilmelidir. v1 SKU'su için kimlik doğrulama sertifikaları gereklidir, ancak v2 SKU güvenilen kök sertifikalarında sertifikalara izin vermek için gereklidir.
Bu makalede şunları öğreneceksiniz:
- Kimlik doğrulama sertifikasını arka uç sertifikasından dışarı aktarma (v1 SKU için)
- Arka uç sertifikasından güvenilen kök sertifikayı dışarı aktarma (v2 SKU için)
Ön koşullar
Application Gateway ile arka uç örneklerine izin vermek için gereken kimlik doğrulama sertifikalarını veya güvenilen kök sertifikaları oluşturmak için mevcut bir arka uç sertifikası gereklidir. Arka uç sertifikası TLS/SSL sertifikasıyla aynı veya ek güvenlik için farklı olabilir. Application Gateway size TLS/SSL sertifikası oluşturmak veya satın almak için herhangi bir mekanizma sağlamaz. Test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz, ancak bunu üretim iş yükleri için kullanmamalısınız.
Kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için)
Application Gateway v1 SKU'sunda arka uç örneklerine izin vermek için bir kimlik doğrulama sertifikası gereklidir. Kimlik doğrulama sertifikası, Base-64 ile kodlanmış X.509() içindeki arka uç sunucu sertifikalarının ortak anahtarıdır. CER) biçimi. Bu örnekte, arka uç sertifikası için bir TLS/SSL sertifikası kullanacak ve kimlik doğrulama sertifikası olarak kullanılacak ortak anahtarını dışarı aktaracaksınız. Ayrıca, bu örnekte gerekli sertifikaları dışarı aktarmak için Windows Sertifika Yöneticisi aracını kullanacaksınız. Uygun olan başka herhangi bir aracı kullanmayı seçebilirsiniz.
TLS/SSL sertifikanızdan ortak anahtar .cer dosyasını dışarı aktarın (özel anahtar değil). Aşağıdaki adımlar Base-64 ile kodlanmış X.509() içinde .cer dosyasını dışarı aktarmanıza yardımcı olur. SERTIFIKAnızın CER) biçimi:
Sertifikadan bir .cer dosyası almak için Kullanıcı sertifikalarını yönet menüsünü açın. Genellikle 'Sertifikalar - Geçerli Kullanıcı\Kişisel\Sertifikalar' bölümünde sertifikayı bulun ve sağ tıklayın. Tüm Görevler’e tıklayın ve ardından Dışarı Aktar’a tıklayın. Sertifika Dışarı Aktarma Sihirbazı açılır. PowerShell kullanarak geçerli kullanıcı kapsamında Sertifika Yöneticisi'ni açmak istiyorsanız konsol penceresine certmgr yazarsınız.
Dekont
Sertifikayı Geçerli Kullanıcı\Kişisel\Sertifikalar altında bulamazsanız, "Sertifikalar - Geçerli Kullanıcı" yerine yanlışlıkla "Sertifikalar - Yerel Bilgisayar" seçeneğini açmış olabilirsiniz.
Sihirbazda, İleri’ye tıklayın.
Hayır, özel anahtarı dışarı aktarma’yı seçin ve İleri’ye tıklayın.
Dışarı Aktarma Dosyası Biçimi sayfasında Base-64 ile kodlanmış X.509 (.CER) seçeneğini belirleyin ve İleri’ye tıklayın.
Dışarı Aktaracak Dosya için, sertifikayı dışarı aktarmak istediğiniz konuma gidin. Dosya adı alanına, sertifika dosyası için bir ad girin. Ardından İleri'ye tıklayın.
Sertifikayı dışarı aktarmak için Son'a tıklayın.
Sertifikanız başarıyla dışarı aktarıldı.
Dışarı aktarılan sertifika şuna benzer:
Dışarı aktarılan sertifikayı Not Defteri kullanarak açarsanız, bu örneğe benzer bir şey görürsünüz. Mavi renkli bölüm, uygulama ağ geçidine yüklenen bilgileri içerir. Sertifikanızı Not Defteri ile açarsanız ve buna benzer görünmüyorsa, bu genellikle Base-64 ile kodlanmış X.509() kullanarak dışarı aktarmadığınız anlamına gelir. CER) biçimi. Ayrıca, farklı bir metin düzenleyicisi kullanmak istiyorsanız, bazı düzenleyicilerin arka planda istenmeyen biçimlendirmeler oluşturabileceğini anlayın. Bu, bu sertifikadan Azure'a metin yüklendiğinde sorun oluşturabilir.
Güvenilen kök sertifikayı dışarı aktarma (v2 SKU için)
Application Gateway v2 SKU'sunda arka uç örneklerine izin vermek için güvenilen kök sertifika gereklidir. Kök sertifika, Base-64 ile kodlanmış X.509() şeklindedir. CER) kök sertifikasını arka uç sunucu sertifikalarından biçimlendirin. Bu örnekte, arka uç sertifikası için bir TLS/SSL sertifikası kullanacağız, ortak anahtarını dışarı aktaracak ve ardından güvenilen kök sertifikayı almak için ortak anahtardan temel64 kodlanmış biçimdeki güvenilen CA'nın kök sertifikasını dışarı aktaracağız. Ara sertifikalar, sunucu sertifikasıyla birlikte paketlenmeli ve arka uç sunucusuna yüklenmelidir.
Aşağıdaki adımlar sertifikanızın .cer dosyasını dışarı aktarmanıza yardımcı olur:
Ortak anahtarı arka uç sertifikanızdan dışarı aktarmak için kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için) bölümünde belirtilen 1 - 8 arası adımları kullanın.
Ortak anahtar dışarı aktarıldıktan sonra dosyayı açın.
Sertifika yetkilisini görüntülemek için Sertifika Yolu görünümüne gidin.
Kök sertifikayı seçin ve Sertifikayı Görüntüle'ye tıklayın.
Kök sertifika ayrıntılarını görmeniz gerekir.
Ayrıntılar görünümüne geçin ve Dosyaya Kopyala... öğesine tıklayın.
Bu noktada, arka uç sertifikasından kök sertifikanın ayrıntılarını ayıkladiniz. Sertifika Dışarı Aktarma Sihirbazı'nı görürsünüz. Şimdi, Base-64 ile kodlanmış X.509() içindeki güvenilen kök sertifikayı dışarı aktarmak için yukarıdaki Arka uç sertifikasından kimlik doğrulama sertifikasını dışarı aktarma (v1 SKU için) bölümünde belirtilen 2-9 arası adımları kullanın. CER) biçimi.
Sonraki adımlar
Artık Base-64 ile kodlanmış X.509() içinde kimlik doğrulama sertifikasına/güvenilen kök sertifikaya sahipsiniz. CER) biçimi. Arka uç sunucularınızın uçtan uca TLS şifrelemesine izin vermek için bunu uygulama ağ geçidine ekleyebilirsiniz. Bkz . PowerShell ile Application Gateway kullanarak uçtan uca TLS yapılandırma.