更新應用程式閘道憑證

如果您為應用程式閘道設定了 TLS/SSL 加密，則到了某個時間點就必須更新憑證。

憑證的存放位置可能有兩個：儲存在 Azure Key Vault 中的憑證，或上傳至應用程式閘道的憑證。

Azure Key Vault 中的憑證

應用程式閘道設定為使用 Key Vault 憑證之後，其執行個體會從 Key Vault 擷取憑證，並安裝在本機以執行 TLS 終止。 執行個體每隔四小時輪詢一次 Key Vault，以擷取更新版的憑證 (若有)。 如果找到更新的憑證，系統會自動輪替目前與 HTTPS 接聽程式相關聯的 TLS/SSL 憑證。

提示

應用程式閘道只要發生變更，就會強制檢查 Key Vault，以查看是否有任何新版本憑證， 其中包括 (但不限於) 前端 IP 設定、接聽程式、規則、後端集區、資源標籤等變更。 一旦找到更新的憑證，就會立即出示新的憑證。

應用程式閘道使用 Key Vault 中的祕密識別碼來參考憑證。 針對 Azure PowerShell、Azure CLI 或 Azure Resource Manager，強烈建議您使用未指定版本的祕密識別碼。 這樣一來，如果 Key Vault 中有較新的版本，應用程式閘道便會自動輪換憑證。 https://myvault.vault.azure.net/secrets/mysecret/ 是沒有版本的祕密 URI 範例。

應用程式閘道上的憑證

應用程式閘道支援憑證上傳，且不需設定 Azure Key Vault。 若要更新上傳的憑證，請按照下列步驟在 Azure 入口網站、Azure PowerShell 或 Azure CLI 上操作。

Azure 入口網站

若要從入口網站更新接聽程式憑證，請瀏覽至您的應用程式閘道接聽程式。 選取含有需更新憑證的接聽程式，然後按一下 [更新或編輯選取的憑證]。

上傳新的 PFX 憑證並為其命名，輸入密碼，然後選取 [儲存]。

Azure PowerShell

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用，請參閱 安裝 Azure PowerShell。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

若要使用 Azure PowerShell 更新您的憑證，請使用下列指令碼：

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

下一步

若要了解如何使用 Azure 應用程式閘道設定 TLS 卸載，請參閱設定 TLS 卸載 (機器翻譯)。