透過入口網站設定應用程式閘道的相互驗證
本文說明如何使用 Azure 入口網站,在您的應用程式閘道上設定相互驗證。 相互驗證表示應用程式閘道使用您上傳至應用程式閘道的用戶端憑證,來驗證傳送要求的用戶端。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
開始之前
若要設定應用程式閘道的相互驗證,您需要將用戶端憑證上傳至閘道。 用戶端憑證會用來驗證用戶端要提供給應用程式閘道的憑證。 如果要進行測試,您可以使用自我簽署憑證。 不過,不建議您將其用於生產工作負載,因為這種工作負載較難管理,也並非完全安全。
若要深入了解您可以上傳何種用戶端憑證,請參閱應用程式閘道的相互驗證概觀。
建立新的應用程式閘道
首先,像您平常透過入口網站一樣,建立新的應用程式閘道 - 建立時不需要額外的步驟來啟用相互驗證。 如需如何在入口網站中建立應用程式閘道的詳細資訊,請參閱入口網站快速入門教學課程。
設定相互驗證
若要設定現有應用程式閘道的相互驗證,您必須先移至入口網站中的 [SSL 設定] 索引標籤,然後建立新的 SSL 設定檔。 建立 SSL 設定檔時,您會看到兩個索引標籤:[用戶端驗證] 和 [SSL 原則]。 [用戶端驗證] 索引標籤是您要上傳用戶端憑證的位置。 [SSL 原則] 索引標籤可用來設定接聽程式特定 SSL 原則 - 如需詳細資訊,請參閱設定接聽程式特定 SSL 原則。
重要
請確定您在一個檔案中上傳整個用戶端 CA 憑證鏈結,而且每個檔案只有一個鏈結。
在入口網站中搜尋「應用程式閘道」,選取 [應用程式閘道],然後按一下您現有的應用程式閘道。
從左側功能表中,選取 [SSL 設定]。
按一下頂端 [SSL 設定檔] 旁的加號,以建立新的 SSL 設定檔。
在 [SSL 設定檔名稱] 下輸入名稱。 在此範例中,我們會呼叫 SSL 設定檔「applicationGatewaySSLProfile」。
請停留在 [用戶端驗證] 索引標籤中。使用 [上傳新憑證] 按鈕來上傳所需 PEM 憑證,進而在用戶端和應用程式閘道間進行相互驗證。
如需如何擷取受信任用戶端 CA 憑證鏈結以上傳至此處的詳細資訊,請參閱如何擷取受信任的用戶端 CA 憑證鏈結。
注意
如果這不是您的第一個 SSL 設定檔,而且您已將其他用戶端憑證上傳到您的應用程式閘道,則可以選擇透過下拉式功能表重複使用閘道上的現有憑證。
只有在您想要應用程式閘道驗證用戶端憑證的立即簽發者辨別名稱時,才核取 [驗證用戶端憑證簽發者的 DN] 方塊。
請考慮新增接聽程式特定原則。 請參閱設定接聽程式特定 SSL 原則的指示。
選取 [新增] 以儲存。
將 SSL 設定檔與接聽程式建立關聯
現在我們建立了具有已設定相互驗證的 SSL 設定檔,接著必須將 SSL 設定檔與接聽程式建立關聯,以完成相互驗證的設定程序。
瀏覽至您現有的應用程式閘道。 如果您剛完成上述步驟,就不需要在這裡執行任何動作。
從左側功能表中選取 [接聽程式]。
如果您尚未設定 HTTPS 接聽程式,請按一下 [新增接聽程式]。 如果您已經有 HTTPS 接聽程式,請從清單中按一下。
填寫接聽程式名稱、前端 IP、連接埠、通訊協定和其他 HTTPS 設定,以符合您的需求。
勾選 [啟用 SSL 設定檔] 核取方塊,以便選取要與接聽程式建立關聯的 SSL 設定檔。
從下拉式清單中選取您剛建立的 SSL 設定檔。 在此範例中,我們會選擇先前步驟中建立的 SSL 設定檔:applicationGatewaySSLProfile。
繼續設定接聽程式的其餘部分,以符合您的需求。
按一下 [新增],以儲存新的接聽程式與其相關聯的 SSL 設定檔。
更新過期的用戶端 CA 憑證
如果您的用戶端 CA 憑證已過期,則可以透過下列步驟更新閘道上的憑證:
瀏覽至您的應用程式閘道,然後移至左側功能表的 [SSL 設定] 索引標籤。
選取具有過期用戶端憑證的現有 SSL 設定檔。
在 [用戶端驗證] 索引標籤中選取 [上傳新憑證],然後上傳新的用戶端憑證。
在過期憑證旁選取垃圾桶圖示。 這會從 SSL 設定檔中移除該憑證的關聯性。
針對使用相同過期用戶端憑證的任何其他 SSL 設定檔,請重複進行上述步驟 2-4。 您可以從其他 SSL 設定檔的下拉式功能表中,選擇您在步驟 3 中上傳的新憑證。