透過入口網站使用應用程式閘道來設定端對端 TLS

  • 發行項

本文描述如何使用 Azure 入口網站,以透過 Azure 應用程式閘道 v1 SKU 來設定端對端傳輸層安全性 (TLS) 加密 (先前稱為安全通訊端層 (SSL) 加密)。

注意

應用程式閘道 v2 SKU 需要受信任的根憑證,才能啟用端對端設定。

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

開始之前

若要使用應用程式閘道來設定端對端 TLS,您需要閘道的憑證。 後端伺服器也需要憑證。 閘道憑證用來根據 TLS 通訊協定規格以衍生對稱金鑰。 接下來,對稱金鑰可以用來加密和解密傳送至閘道的流量。

針對端對端 TLS 加密,應用程式閘道中必須允許正確的後端伺服器。 若要允許此存取,請將後端伺服器的公用憑證 (也稱為驗證憑證 (v1) 或受信任的根憑證 (v2)) 上傳至應用程式閘道。 新增憑證可確保應用程式閘道只會與已知的後端執行個體通訊。 此設定可進一步保護端對端通訊。

重要

如果您收到後端伺服器憑證的錯誤訊息,請確認前端憑證一般名稱 (CN) 符合後端憑證 CN。 如需詳細資訊,請參閱受信任的根憑證不相符

若要深入了解,請參閱應用程式閘道的 TLS 終止和端對端 TLS 概觀

建立具有端對端 TLS 的新應用程式閘道

若要建立具有端對端 TLS 加密的新應用程式閘道,您需要先在建立新的應用程式閘道時啟用 TLS 終止。 此動作會針對用戶端與應用程式閘道之間的通訊啟用 TLS 加密。 然後,您需要在 HTTP 設定中將後端伺服器的憑證放入 [安全收件者] 清單中。 此設定會針對應用程式閘道與後端伺服器之間的通訊啟用 TLS 加密。 這可完成端對端 TLS 加密。

在建立新的應用程式閘道時啟用 TLS 終止

若要深入了解,請參閱在建立新的應用程式閘道時啟用 TLS 終止

新增後端伺服器的驗證/根憑證

  1. 選取 [所有資源],然後選取 [myAppGateway]

  2. 從左側功能表中,選取 [HTTP 設定]。 當您建立應用程式閘道時,Azure 已自動建立預設 HTTP 設定 appGatewayBackendHttpSettings

  3. 選取 [appGatewayBackendHttpSettings]

  4. 在 [通訊協定] 下,選取 [HTTPS]。 [後端驗證憑證] 或 [受信任的根憑證] 窗格隨即出現。

  5. 選取 [新建]

  6. 在 [名稱] 欄位中,輸入適當的名稱。

  7. 在 [上傳 CER 憑證] 方塊中,選取憑證檔案。

    針對標準和 WAF (v1) 應用程式閘道,您應該以 .cer 格式上傳後端伺服器憑證的公開金鑰。

    Add certificate

    針對 Standard_v2 和 WAF_v2 應用程式閘道,您應該以 .cer 格式上傳後端伺服器憑證的根憑證。 如果後端憑證是由已知的憑證授權單位 (CA) 所核發,則您可以選取 [使用已知 CA 憑證] 核取方塊,然後您不需要上傳憑證。

    Add trusted root certificate

    Root certificate

  8. 選取 [儲存]。

針對現有的應用程式閘道啟用端對端 TLS

若要設定具有端對端 TLS 加密的現有應用程式閘道,您必須先在接聽程式中啟用 TLS 終止。 此動作會針對用戶端與應用程式閘道之間的通訊啟用 TLS 加密。 然後,將這些後端伺服器憑證放入 HTTP 設定的 [安全收件者] 清單中。 此設定會針對應用程式閘道與後端伺服器之間的通訊啟用 TLS 加密。 這可完成端對端 TLS 加密。

您需要搭配使用接聽程式與 HTTPS 通訊協定和憑證,才能啟用 TLS 終止。 您可以使用符合這些條件的現有接聽程式,或建立新的接聽程式。 如果您選擇前面的選項,則可以忽略下列<在現有應用程式閘道中啟用 TLS 終止>一節,並直接移至<新增後端伺服器的驗證/受信任的根憑證>一節。

如果您選擇後面的選項,則請套用下列程序中的步驟。

在現有應用程式閘道中啟用 TLS 終止

  1. 選取 [所有資源],然後選取 [myAppGateway]

  2. 從左側功能表中,選取 [接聽程式]

  3. 根據您的需求,選取 [基本] 或 [多站台] 接聽程式。

  4. 在 [通訊協定] 下,選取 [HTTPS]。 [憑證] 窗格隨即出現。

  5. 上傳 PFX 憑證,而您想要將其用於用戶端與應用程式閘道之間的 TLS 終止。

    注意

    如果要進行測試,您可以使用自我簽署憑證。 不過,不建議您將其用於生產工作負載,因為這種工作負載較難管理,也並非完全安全。 如需詳細資訊,請參閱建立自我簽署憑證

  6. 根據您的需求,新增 [接聽程式] 的其他必要設定。

  7. 選取 [確定] 以儲存。

新增後端伺服器的驗證/受信任的根憑證

  1. 選取 [所有資源],然後選取 [myAppGateway]

  2. 從左側功能表中,選取 [HTTP 設定]。 您可以將憑證放入現有後端 HTTP 設定的 [安全收件者] 清單中,或建立新的 HTTP 設定。 (在下一個步驟中,預設 HTTP 設定 appGatewayBackendHttpSettings 的憑證會新增至 [安全收件者] 清單。)

  3. 選取 [appGatewayBackendHttpSettings]

  4. 在 [通訊協定] 下,選取 [HTTPS]。 [後端驗證憑證] 或 [受信任的根憑證] 窗格隨即出現。

  5. 選取 [新建]

  6. 在 [名稱] 欄位中,輸入適當的名稱。

  7. 在 [上傳 CER 憑證] 方塊中,選取憑證檔案。

    針對標準和 WAF (v1) 應用程式閘道,您應該以 .cer 格式上傳後端伺服器憑證的公開金鑰。

    Add certificate

    針對 Standard_v2 和 WAF_v2 應用程式閘道,您應該以 .cer 格式上傳後端伺服器憑證的根憑證。 如果後端憑證是由已知的 CA 所核發,則您可以選取 [使用已知 CA 憑證] 核取方塊,然後您不需要上傳憑證。

    Add trusted root certificate

  8. 選取 [儲存]。

下一步

使用 Azure CLI 以應用程式閘道管理網路流量