若要執行端對端 TLS,應用程式閘道需要上傳驗證/信任的根憑證來允許後端執行個體。 針對 v1 SKU,需要驗證憑證,但針對 v2 SKU,需要信任的根憑證才能允許憑證。
在本文中,您將學會如何:
- 從後端憑證匯出驗證憑證 (適用於 v1 SKU)
- 從後端憑證匯出受信任的根憑證 (適用於 v2 SKU)
先決條件
需要現有的後端憑證,以產生允許後端實例使用應用程式閘道所需的驗證憑證或受信任的根憑證。 後端憑證可以與 TLS/SSL 憑證相同,也可以不同以增加安全性。 應用程式閘道不會提供任何建立或購買 TLS/SSL 憑證的機制。 出於測試目的,您可以建立自我簽署憑證,但不應將其用於生產工作負載。
匯出驗證憑證 (適用於 v1 SKU)
需要驗證憑證,才能使應用程式閘道 v1 SKU 中的後端執行個體能夠運作。 驗證憑證是 Base-64 編碼的 X.509 (.CER) 格式的後端伺服器憑證公鑰。 在此範例中,您將對後端憑證使用 TLS/SSL 憑證,並匯出其公開金鑰以用作驗證憑證。 此外,在此範例中,您將使用 Windows 憑證管理員工具來匯出必要的憑證。 您可以選擇使用任何其他方便的工具。
從 TLS/SSL 憑證中,匯出公開金鑰.cer檔案 (不是私密金鑰)。 下列步驟可協助您將 .cer 檔案以 Base-64 編碼的 X.509(.CER) 格式匯出用於您的證書:
若要從憑證取得.cer檔案,請開啟 [管理使用者憑證]。 找到憑證(通常位於「憑證 - 目前使用者\個人\憑證」中),然後按一下滑鼠右鍵。 按一下 [所有工作],然後按一下 [匯出]。 這會開啟 憑證匯出精靈。 如果您想要使用 PowerShell 在目前使用者範圍內開啟憑證管理員,請在主控台視窗中輸入 certmgr 。
備註
如果您在 [目前使用者\個人\憑證] 下找不到憑證,可能是您不小心開啟了 [憑證 - 本機電腦],而不是 [憑證 - 目前使用者])。
![螢幕擷取畫面顯示已選取憑證的憑證管理員,以及包含所有工作的快顯功能表,且已選取 [匯出]。](media/certificates-for-backend-authentication/export.png)
在精靈中,按一下 下一步。
選取 [ 否,不匯出私密金鑰],然後按一下 [下一步]。
在 [ 匯出檔案格式 ] 頁面上,選取 Base-64 編碼的 X.509 (.CER).,然後按一下 [下一步]。
針對要匯出的檔案,請瀏覽至您要匯出憑證的位置。 針對 檔案名稱,為憑證檔案命名。 然後,按一下 [下一步]。
按一下 完成 以匯出憑證。
您的憑證已成功匯出。
匯出的憑證看起來類似於以下內容:
如果您使用記事本開啟匯出的憑證,您會看到類似此範例的內容。 藍色區段包含上傳至應用程式閘道的資訊。 如果您使用「記事本」開啟您的憑證,但並未顯示這樣的內容,這通常表示您未使用 Base-64 編碼 X.509(.CER) 格式進行匯出。 此外,如果您想使用不同的文字編輯器,請注意,某些編輯器可能會在不經意之間於背景中引入意外的格式。 將文字從此憑證上傳至 Azure 時,這可能會產生問題。
匯出受信任的根憑證 (適用於 v2 SKU)
需要受信任的根憑證,才能允許應用閘道 v2 SKU 中的後端執行個體。 根憑證是 Base-64 編碼的 X.509(.CER) 格式化後端伺服器憑證中的根憑證。 在此範例中,我們將使用後端憑證的 TLS/SSL 憑證,匯出其公開金鑰,然後以 base64 編碼格式從公開金鑰匯出受信任 CA 的根憑證,以取得受信任的根憑證。 中繼憑證應與伺服器憑證捆綁在一起,並安裝在後端伺服器上。
下列步驟可協助您匯出憑證的.cer檔案:
使用上一節匯 出驗證憑證 (適用於 v1 SKU) 中所述的步驟 1 - 8,從後端憑證匯出公開金鑰。
匯出公鑰後,開啟檔案。
請轉到「憑證路徑」檢視中查看憑證授權機構。
選取根憑證,然後按一下 檢視憑證。
您應該會看到根憑證詳細資料。
移至 「詳細資料」 檢視,然後按一下 「複製到檔案...」
此時,您已從後端憑證擷取根憑證的詳細資料。 您會看到 憑證匯出精靈。 現在使用前一節從後端憑證匯出驗證憑證(適用於 v1 SKU)中所述的步驟 2-9,以 Base-64 編碼的 X.509(.CER)格式匯出受信任的根憑證。
後續步驟
現在您擁有以 Base-64 編碼的 X.509(.CER) 格式的身份驗證憑證或受信任根憑證。 您可以將此新增至應用程式閘道,以允許後端伺服器進行端對端 TLS 加密。 請參閱 搭配 PowerShell 使用應用程式閘道來設定端對端 TLS。