- 23/07/2019
- Tempo de lectura: 6 minutos
-
- v
- ou
A aplicación Gateway V2 SKU Introduza o uso de certificados raíz de confianza para permitir que os servidores de aplicacións de back-end. SKU introduce o uso de certificados de confianza de confianza para permitir que os servidores de backend. Deste xeito, elimínanse os certificados de autenticación necesarios no SKU V1.This elimina os certificados de autenticación que foron necesarios no V1 SKU. O certificado raíz é un certificado raíz en formato X.509 (.cer) codificado na base 64 do certificado raíz back-end. O servidor de certificados en base-64 codificado x.509 (.cer) formato certificado do backend Servidor de certificados. Identifica a entidade de certificación raíz que emitiu o certificado do servidor, que se usa para o TLS / SSL.It identifica a comunicación a autoridade de certificado raíz (CA) que emitiu o certificado do servidor e o certificado do servidor é cando se usa para a comunicación TLS / SSL.
Gateway de aplicación depende do certificado do sitio web por defecto se está asinado por unha entidade de certificación coñecida (por exemplo, Godaddy ou Digitert) .Application Gateway confía o certificado do teu sitio web por defecto se está asinado por un coñecido Ca (por exemplo, godaddy ou digicert). Neste caso, non é necesario cobrar explícitamente o certificado raíz. Non necesita cargar explícitamente o certificado raíz nese caso. Para obter máis información, consulte Introdución á TLS Terminación e TLS de punta a punta con Gateway. Para obter máis información, consulte Descrición xeral da terminación de TLS e finaliza TLS con Gateway. Non obstante, se ten un ambiente de desenvolvemento e probas e non quere comprar ningún certificado asinado por unha entidade de certificación comprobada, pode crear a súa propia entidade de certificación personalizada e crear un certificado auto-asinado. Non obstante, se ten un Dev / Test Ambiente e non queres mercar un certificado de asinado CA Verificado, podes crear a túa propia CA personalizada e crear un certificado auto-asinado con el.
Nota
por Non se confían en forma predeterminada, os certificados auto-asinados non son de confianza e poden ser difíciles de manter os certificados asinados por defecto e poden ser difíciles de mintain. Ademais, pode usar conxuntos de hash e cifrado sen displayed que poden non estar seguros. Ademais, poden usar hash e suites cifras desactualizadas que non sexan fortes. Para mellorar a seguridade, compre un certificado asinado por unha entidade de certificación coñecida. Para unha mellor seguridade, compra ao certificado asinado por unha autoridade de certificación coñecida.
Neste artigo, vai aprender a: Neste artigo, vai aprender a:
- Crea a túa propia entidade de certificación Personalizadacreate a túa propia autoridade de certificación personalizada
- Crear un certificado auto-asinado asinado pola entidade de certificación personalizada Un certificado auto-asinado asinado polo seu CAIL CA
- Cargar un certificado raíz auto-asinado na porta de entrada para autenticar o servidor de entrada de endupload a auto-asinado certificado de raíz a unha porta de entrada para autenticar o servidor de backend
Prerrequisitos Prerrequisitos
-
OpenSSL nunha xanela ou linuxenssl na computadora en computadora con Windows ou Linux
Aínda que podería haber Outras ferramentas dispoñibles para a administración de certificados, en Este tutorial úsase OpenSSL. Mentres pode haber outras ferramentas dispoñibles para a xestión de certificados, este tutorial usa OpenSSL. Podes atopar openssl incluído en moitas distribucións de Linux, como Ubuntu.You pode atopar openssl incluído con moitas distribucións de Linux, como Ubuntu.
-
Un servidor web do servidor web
Por exemplo, Apache, IIS ou Nginx para probar os certificados. Por exemplo, Apache, IIS ou Nginx para probar os certificados.
-
SKU DE APLICATION Gateway V2AN Aplicación Gateway v2 sku
Se non ten ningún elemento de pasarela de aplicacións, consulte Start rápido: Enderezo de tráfico web con Azure Application Gateway: Azure Portalif Non ten unha pasarela de aplicación existente, vexa Quickstart: Tráfico web directo Con Azure Application Gateway – Portal Azure.
Creación dun certificado Certificado Certificado de raíz Certificado CA
Crea a raíz do certificado da entidade de certificación con openssl.Create O seu certificado CA raíz usando OpenSSL.
Creación da chave raíz da raíz
-
Inicie sesión na computadora onde OpenSSL está instalado e execute o seguinte comando.Sign no seu ordenador onde OpenSSL é instalado e executa o seguinte comando. Isto crea unha tecla protexida por contrasinal. Isto crea a tecla protexida por contrasinal.
openssl ecparam -out contoso.key -name prime256v1 -genkey
-
No símbolo do sistema, escriba un contrasinal segura .AT a solicitude, escriba a un contrasinal forte. Por exemplo, polo menos nove caracteres, con maiúsculas, minúsculas, números e símbolos. Por exemplo, polo menos nove caracteres, maiúsculas superiores, minúsculas, números e símbolos.
Crear un certificado raíz e autofirmadoCreate a certificado raíz e auto-sign
Use os seguintes comandos para xerar a CSR e o certificado. Utilizar os seguintes comandos para xerar a CSR e O certificado.
openssl req -new -sha256 -key contoso.key -out contoso.csropenssl x509 -req -sha256 -days 365 -in contoso.csr -signkey contoso.key -out contoso.crt
Os comandos anteriores crean o certificado raíz. Os comandos anteriores crean o certificado raíz. Usalo para asinar o certificado do servidor. Usará isto para asinar o certificado do servidor.
Cando se lle solicite, escriba o contrasinal da tecla de raíz e a información da organización do Entidade de certificación personalizada, como país ou rexión, estado, organización, unidade organizativa e nome de dominio completo (é dicir, o dominio do emisor). Cando levou, escriba o contrasinal para a chave raíz e a información organizativa para o Cust Cust Como país / rexión, estado, org, ou o nome de dominio totalmente cualificado (este é o dominio de Thessuer).
Crear un certificado de servidor Certificado de servidor
A continuación, creará un certificado de servidor con openssl.next, creará un certificado de servidor usando OpenSSL.
Crear a clave CertificateCreate A tecla do certificado
Use o seguinte comando para xerar a tecla PA RA O certificado de servidor. Utiliza o seguinte comando para xerar a clave para o certificado do servidor.
openssl ecparam -out fabrikam.key -name prime256v1 -genkey
Crea a CSR (Solicitude de sinatura de certificado). Crear a CSR (Solicitude de sinatura de certificado)
A CSR é unha clave pública que está asignada a unha entidade de certificación ao solicitar un certificado. A CSR é unha clave pública que se lle dá a unha CA ao solicitar o certificado. A entidade de certificación emite o certificado para esta solicitude específica. O CA emite o certificado para esta especificación.
Nota
O nome común (CN) do certificado do servidor que debe Sexa diferente do dominio do emisor. O CN (nome común) para o certificado do servidor debe ser diferente do dominio do emisor. Por exemplo, neste caso, o CN do emisor é www.contoso.com
e o CN do certificado do servidor é www.fabrikam.com
. Por exemplo, en Este caso, o CN para o emisor é www.contoso.com
e o CN do certificado do servidor é www.fabrikam.com
.
-
Use o seguinte comando para xerar a CSR: Use o seguinte comando para xerar a CSR:
openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr
-
Cando se lle solicite, escriba o contrasinal da tecla de raíz e a información da organización da entidade de certificación personalizada: país ou rexión, estado, organización, unidade organizativa e nome de dominio completo. Cando levou, escriba o contrasinal para a chave raíz e a Información organizativa para a CA CAR: País / rexión, estado, org, ou o nome de dominio totalmente cualificado. Este é o dominio do sitio web e debe ser diferente do emisor. Este é o dominio do sitio web e debe ser diferente de Thessuer.
Xeración do certificado coa CSR e a clave e sinatura coa clave da CETALIZACIÓN da certificación EntityGenerar o certificado coa CSR e a clave e asinar-lo co CA clave de raíz
-
Use o seguinte comando para crear o certificado: Use o seguinte comando para crear o certificado:
openssl x509 -req -in fabrikam.csr -CA contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256
Comprobando a recentemente creada Certificación do certificado recentemente creado
-
Use o seguinte comando para imprimir o resultado do ficheiro CRT e comprobar o seu contido: Use O seguinte comando para imprimir a saída do ficheiro CRT e verificar o seu contido:
-
Comprobe os ficheiros de ficheiro Torium e asegúrese de ter os seguintes ficheiros: Comprobe os ficheiros do seu directorio e asegúrese de ter os seguintes ficheiros:
- contoso.crtcontoso.crt
- contoso.key .key
- fabrikam.crtfabrikam.crt
- fabrikam.keyfabrikam.Tecla
Configuración do certificado na configuración TLS da webconfigura O certificado na configuración TLS do servidor web
No servidor web, configurar Tls con fabrikam.crt e fabrikam.key.in os ficheiros do servidor web, configure TLS usando os ficheiros fabrikam.crt e fabrikam.key. Se o servidor web non pode recibir dous ficheiros, pode combinalos nun único .PEM ou ficheiro .pfx usando opensl. Se o seu servidor web non pode tomar dous ficheiros, pode combinalos a un único ficheiro .pem ou .pfx usando Comandos de OpenSSL.
IISIIS
Para obter instrucións sobre como importar o certificado e cargalo como un certificado de servidor en IIS, consulte Procedemento: Instalación de certificados importados nun servidor web en Windows Server 2003 . Por instrucións sobre como importar o certificado e cargalos como certificado de servidor en IIS, consulte Como: Instalar certificados importados nun servidor web en Windows Server 2003.
para as instrucións de ligazón TLS, consulte a configuración SSL en IIS 7.Por TLS Instrucións de unión, consulte Como configurar SSL en IIS 7.
Appacheting
A seguinte configuración é un exemplo de servidor virtual configurado para SSL en Apache: a seguinte configuración é Un exemplo de anfitrión virtual configurado para SSL en Apache:
<VirtualHost www.fabrikam:443> DocumentRoot /var/www/fabrikam ServerName www.fabrikam.com SSLEngine on SSLCertificateFile /home/user/fabrikam.crt SSLCertificateKeyFile /home/user/fabrikam.key</VirtualHost>
nginxnginx
A seguinte configuración é un exemplo de bloque de servidor Nginx con configuración de TLS: a seguinte configuración é unha Exemplo Nginx Server Block con configuración TLS:
Acceso ao servidor para comprobar a configuraciónAccess o servidor para verificar o Configuración
-
Engadir o certificado raíz á raíz raíz da máquina. Engade o certificado raíz á tenda raíz de confianza da máquina. Ao acceder ao sitio web, asegúrese de que a cadea de certificación enteira se ve no explorador. Cando acceda ao sitio web, asegúrese de que a cadea de certificación enteira se ve no navegador.
Nota
Suponse que o DNS debería apuntar o nome do servidor web (neste exemplo, www. Fabrikam.com) Na dirección IP da web.It suponse que o servidor DNS foi configurado para apuntar o nome do servidor web (neste exemplo, www.fabrikam.com) á dirección IP do seu servidor web. Se non, pode editar o ficheiro host para resolver o nome. Se non, pode editar o ficheiro hosts para resolver o nome.
-
Ir ao seu sitio web E faga clic na icona de bloqueo situada na caixa de enderezos do navegador para comprobar a información do sitio e certificado .Browse no seu sitio web e prema na icona Bloquear na caixa de enderezos do seu navegador para verificar a información do sitio e do certificado.
Comprobando a configuración con opensslverify a configuración con OWSSL
ou pode usar OpenSSL para comprobar o certificado.or, pode usar OpenSSL para verificar o certificado.
openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts
Cargando certificado raíz na configuración HTTP da aplicación GatewayUpload do certificado raíz a Configuración HTTP de Gateway de aplicación
Para cargar o certificado na pasarela de aplicación, ten que exportar o certificado .crt C C Nun formato de .cer codificado na base 64. Para cargar o certificado na porta de entrada da aplicación, ten que exportar o certificado .crt nunha base de formato .cer-64 codificada. Dende que .crt xa contén a clave pública no formato codificado na base 64, só tes que cambiar o nome da extensión do ficheiro .CRT a .cer.since .crt xa contén a clave pública no formato codificado base-64, xusto Renomear a extensión do ficheiro de .CRT a .cer.
Portal de portalazuros Azure
Para cargar o certificado raíz de confianza do portal, seleccione Configuración HTTP e escolla o protocolo HTTPS. Para cargar o Certificado de raíz de confianza do portal, seleccione a configuración HTTP e escolla o protocolo HTTPS.
Azure PowerShellaZure PowerShell
Ou pode usar Azure ou Azure PowerShell CLI para cargar o certificado raíz.or, pode usar Azure CLI ou Azure PowerShell para cargar o certificado raíz. O seguinte código é un exemplo de Azure PowerShell. O código de seguimento é unha mostra Azure PowerShell.
Nota
No seguinte exemplo, engádese un certificado de raíz real á aplicación Gateway, créase unha nova configuración HTTP e engádese unha nova regra, asumindo que o grupo de back-end e o cliente de escoita xa existen.A seguinte mostra engade un certificado raíz de confianza á pasarela da aplicación, crea unha nova configuración HTTP e engade unha nova regra, asumindo que o piscina de backend xa existe o oínte.
## Add the trusted root certificate to the Application Gateway$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOneAdd-AzApplicationGatewayTrustedRootCertificate ` -ApplicationGateway $gw ` -Name CustomCARoot ` -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate ` -Name CustomCARoot ` -ApplicationGateway $gw## Get the listener, backend pool and probe$listener = Get-AzApplicationGatewayHttpListener ` -Name basichttps ` -ApplicationGateway $gw$bepool = Get-AzApplicationGatewayBackendAddressPool ` -Name testbackendpool ` -ApplicationGateway $gwAdd-AzApplicationGatewayProbeConfig ` -ApplicationGateway $gw ` -Name testprobe ` -Protocol Https ` -HostName "www.fabrikam.com" ` -Path "/" ` -Interval 15 ` -Timeout 20 ` -UnhealthyThreshold 3$probe = Get-AzApplicationGatewayProbeConfig ` -Name testprobe ` -ApplicationGateway $gw## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field## to the domain name of the server certificate as this will be set as the SNI header and## will be used to verify the backend server's certificate. Note that TLS handshake will## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probesAdd-AzApplicationGatewayBackendHttpSettings ` -ApplicationGateway $gw ` -Name testbackend ` -Port 443 ` -Protocol Https ` -Probe $probe ` -TrustedRootCertificate $trustedroot ` -CookieBasedAffinity Disabled ` -RequestTimeout 20 ` -HostName www.fabrikam.com## Get the configuration and update the Application Gateway$backendhttp = Get-AzApplicationGatewayBackendHttpSettings ` -Name testbackend ` -ApplicationGateway $gwAdd-AzApplicationGatewayRequestRoutingRule ` -ApplicationGateway $gw ` -Name testrule ` -RuleType Basic ` -BackendHttpSettings $backendhttp ` -HttpListener $listener ` -BackendAddressPool $bepoolSet-AzApplicationGateway -ApplicationGateway $gw
comprobación del Estado de back-end de una instancia de aplicación Gatewayverify A Solicitude de backend da aplicación
- Haga Clic en la Vista Estado de Back-End de la instancia de aplicación Gateway para comprobar SI ESTE ESTADO DE DEL SONDEO ES COUSTICO.Click The Backend Health View da súa porta de entrada para comprobar se a sonda é saudable.
- Deben ver que o Estado é o correcto para o SONDEO HTTPS.You Debería ver que o estado é saudable para a sonda HTTPS.
para obster más información SOBRE SSL \ TLS en Aplicación Gateway, consulta Introdución A La Terminación TLS Ya TLS de Extremo A Extreme Con Application Gateway.Te aprender máis sobre SSL \ tls na porta de entrada de aplicacións, consulte Descrición xeral da TLS Terminación e Fin para finalizar TLS con porta de entrada.