匯出受信任的用戶端 CA 憑證鏈結以與用戶端驗證搭配使用

為設定與用戶端的相互驗證或用戶端驗證，Azure 應用程式閘道需上傳受信任的用戶端 CA 憑證鏈結至閘道。 若您有多個憑證鏈結，則需分別建立鏈結，並以個別檔案方式上傳至 Azure 應用程式閘道。 本文協助您瞭解如何匯出受信任的用戶端 CA 憑證鏈結，以便您將其用於閘道的用戶端驗證設定。

必要條件

需要現有用戶端憑證才能產生受信任的用戶端 CA 憑證鏈結。

匯出受信任的用戶端 CA 憑證

需要受信任的用戶端 CA 憑證才能在 Azure 應用程式閘道使用用戶端驗證。 在這個範例，我們利用 TLS/SSL 憑證作為用戶端憑證，匯出其公開金鑰，然後從公開金鑰匯出 CA 憑證，以便取得受信任的用戶端 CA 憑證。 然後，我們將所有用戶端 CA 憑證串連為單一受信任的用戶端 CA 憑證鏈結。

以下步驟可協助您匯出憑證的 .pem 或 .cer 檔案：

匯出公開憑證

1. 若要取得憑證的 .cer 檔案，請開啟 [管理使用者憑證]。 找到憑證 (通常位於「憑證-目前使用者\ 個人\ 憑證」)，然後按一下滑鼠右鍵。 按一下 [所有工作]，然後按一下 [匯出]。 這會開啟 [憑證匯出精靈] 。 若您在 Current User\Personal\Certificates 下找不到憑證，您可能已意外開啟 [憑證 - 本機電腦]，而非 [憑證 - 目前使用者]。 若要使用 PowerShell 在目前使用者範圍開啟 [憑證管理員]，您必須在主控台視窗中輸入 certmgr。

   

2. 在精靈中，按 [下一步]。

   

3. 選取 [否，不要匯出私密金鑰]，然後按 [下一步]。

   

4. 在 [匯出檔案格式] 頁面上，選取 [Base-64 編碼 X.509 (.CER)]，然後按 [下一步]。

   

5. 針對 [要匯出的檔案]，[瀏覽] 至您要匯出憑證的位置。 針對 [檔案名稱] ，請為憑證檔案命名。 然後按 [下一步]。

   

6. 按一下 [完成] 以匯出憑證。

   

7. 已成功匯出您的憑證。

   

   匯出的憑證如下所示：

   

從公開憑證匯出 CA 憑證

在您匯出公開憑證之後，現在將從您的公開憑證匯出 CA 憑證。 若您僅有根 CA，則僅需匯出該憑證。 不過，若您有 1 個以上的中繼 CA，則您也需匯出個別 CA。

1. 匯出公開金鑰後，開啟檔案。

   

   

2. 選取憑證路徑分頁，檢視憑證授權單位。

   

3. 選取根憑證，然後按一下檢視憑證。

   

   您應該會看到根憑證詳細資料。

   

4. 選取 [詳細資料] 分頁，然後按一下 [複製到檔案...]

   

5. 此時，您已從公開憑證擷取根 CA 憑證的詳細資料。 您會看到憑證匯出精靈。 依照前一章節 (匯出公開憑證) 的步驟 2-7，完成憑證匯出精靈。

6. 現在，針對所有中繼 CA 重複本章節的步驟 2-6 (從公開憑證匯出 CA 憑證)，以便利用 Base-64 編碼 X.509 (.CER) 格式來匯出所有中繼 CA 憑證。

   

   例如，您可針對 MSIT CAZ2 中繼 CA 重複本章節的步驟 2-6，將其擷取為其本身的憑證。

串連所有 CA 憑證為單一檔案

1. 利用先前擷取的所有 CA 憑證來執行以下命令。

   Windows：

   type intermediateCA.cer rootCA.cer > combined.cer
   

   Linux：

   cat intermediateCA.cer rootCA.cer >> combined.cer
   

   您產生的組合憑證應如下所示：

   

下一步

現在您擁有受信任的用戶端 CA 憑證鏈結。 您可新增該鏈結至 Azure 應用程式閘道的用戶端驗證設定，以便透過閘道進行相互驗證。 請參閱利用入口網站來透過 Azure 應用程式閘道設定相互驗證或利用 PowerShell 來透過 Azure 應用程式閘道設定相互驗證。