İstemci kimlik doğrulaması ile kullanmak üzere güvenilen bir istemci CA sertifika zincirini dışarı aktarma
İstemci veya istemci kimlik doğrulaması ile karşılıklı kimlik doğrulaması yapılandırmak için Application Gateway, ağ geçidine güvenilen bir istemci CA sertifika zincirinin yüklenmesini gerektirir. Birden çok sertifika zinciriniz varsa zincirleri ayrı olarak oluşturmanız ve Application Gateway'de farklı dosyalar olarak karşıya yüklemeniz gerekir. Bu makalede, ağ geçidinizdeki istemci kimlik doğrulaması yapılandırmanızda kullanabileceğiniz güvenilir bir istemci CA sertifika zincirini dışarı aktarmayı öğreneceksiniz.
Ön koşullar
Güvenilen istemci CA sertifika zincirini oluşturmak için mevcut bir istemci sertifikası gereklidir.
Güvenilen istemci CA sertifikalarını dışarı aktarma
Application Gateway'de istemci kimlik doğrulamasına izin vermek için güvenilen istemci CA sertifikası gereklidir. Bu örnekte, istemci sertifikası için bir TLS/SSL sertifikası kullanır, ortak anahtarını dışarı aktarır ve sonra güvenilen istemci CA sertifikalarını almak için ca sertifikalarını ortak anahtardan dışarı aktarırız. Ardından tüm istemci CA sertifikalarını tek bir güvenilen istemci CA sertifika zincirinde birleştiririz.
Aşağıdaki adımlar sertifikanız için .pem veya .cer dosyasını dışarı aktarmanıza yardımcı olur:
Genel sertifikayı dışarı aktarma
Sertifikadan bir .cer dosyası almak için Kullanıcı sertifikalarını yönet menüsünü açın. Genellikle 'Sertifikalar - Geçerli Kullanıcı\Kişisel\Sertifikalar' bölümünde sertifikayı bulun ve sağ tıklayın. Tüm Görevler’e tıklayın ve ardından Dışarı Aktar’a tıklayın. Sertifika Dışarı Aktarma Sihirbazı açılır. Sertifikayı Geçerli Kullanıcı\Kişisel\Sertifikalar altında bulamazsanız, "Sertifikalar - Geçerli Kullanıcı" yerine yanlışlıkla "Sertifikalar - Yerel Bilgisayar" seçeneğini açmış olabilirsiniz. PowerShell kullanarak geçerli kullanıcı kapsamında Sertifika Yöneticisi'ni açmak istiyorsanız konsol penceresine certmgr yazarsınız.
Sihirbazda, İleri’ye tıklayın.
Hayır, özel anahtarı dışarı aktarma’yı seçin ve İleri’ye tıklayın.
Dışarı Aktarma Dosyası Biçimi sayfasında Base-64 ile kodlanmış X.509 (.CER) seçeneğini belirleyin ve İleri’ye tıklayın.
Dışarı Aktaracak Dosya için, sertifikayı dışarı aktarmak istediğiniz konuma gidin. Dosya adı alanına, sertifika dosyası için bir ad girin. Ardından İleri'ye tıklayın.
Sertifikayı dışarı aktarmak için Son'a tıklayın.
Sertifikanız başarıyla dışarı aktarıldı.
Dışarı aktarılan sertifika şuna benzer:
CA sertifikalarını genel sertifikadan dışarı aktarma
Genel sertifikanızı dışarı aktardığınıza göre, artık ortak sertifikanızdan CA sertifikalarını dışarı aktaracaksınız. Yalnızca kök CA'nız varsa, yalnızca bu sertifikayı dışarı aktarmanız gerekir. Ancak, 1' den fazla ara CA'nız varsa, bunların her birini de dışarı aktarmanız gerekir.
Ortak anahtar dışarı aktarıldıktan sonra dosyayı açın.
Sertifika yetkilisini görüntülemek için Sertifika Yolu sekmesini seçin.
Kök sertifikayı seçin ve Sertifikayı Görüntüle'ye tıklayın.
Kök sertifika ayrıntılarını görmeniz gerekir.
Ayrıntılar sekmesini seçin ve Dosyaya Kopyala... öğesine tıklayın.
Bu noktada, ortak sertifikadan kök CA sertifikasının ayrıntılarını ayıkladiniz. Sertifika Dışarı Aktarma Sihirbazı'nı görürsünüz. Sertifika Dışarı Aktarma Sihirbazı'nı tamamlamak için önceki bölümdeki (Genel sertifikayı dışarı aktar) 2-7 arası adımları izleyin.
Şimdi bu geçerli bölümdeki (CA sertifikalarını genel sertifikadan dışarı aktarma) 2-6 arası adımları tüm ara CA'lar için yineleyin ve Base-64 ile kodlanmış X.509() içindeki tüm ara CA sertifikalarını dışarı aktarın. CER) biçimi.
Örneğin, bu bölümdeki 2-6 arası adımları MSIT CAZ2 ara CA'da yineler ve bunu kendi sertifikası olarak ayıklarsınız.
Tüm CA sertifikalarınızı tek bir dosyada birleştirme
Daha önce ayıkladığınız tüm CA sertifikalarıyla aşağıdaki komutu çalıştırın.
Windows:
type intermediateCA.cer rootCA.cer > combined.cer
Linux:
cat intermediateCA.cer rootCA.cer >> combined.cer
Sonuçta elde edilen birleştirilmiş sertifikanız aşağıdakine benzer olmalıdır:
Sonraki adımlar
Artık güvenilen istemci CA sertifika zincirine sahipsiniz. Ağ geçidinizle karşılıklı kimlik doğrulamasına izin vermek için bunu Application Gateway'de istemci kimlik doğrulaması yapılandırmanıza ekleyebilirsiniz. Bkz . Portal ile Application Gateway kullanarak karşılıklı kimlik doğrulamayı yapılandırma veya PowerShell ile Application Gateway kullanarak karşılıklı kimlik doğrulamayı yapılandırma.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin