7/23/2019
- v
- ou
o gateway do aplicativo v2 sku insira o uso de certificados raiz confiáveis para permitir o back-end. O gateway de servidores de aplicativos v2 A SKU introduz o uso de certificados raiz confiáveis para permitir servidores de backend. Desta forma, os certificados de autenticação necessários são removidos no SKU V1.Este remove certificados de autenticação que foram necessários no SKU V1. O certificado raiz é um certificado raiz no formato X.509 (.CER) codificado na base 64 do back-end. O certificado raiz é o certificado de certificado no certificado de raiz de formato base-64 codificado no back-end. Servidor de certificado. Identifica a entidade de certificação raiz que emitiu o certificado do servidor, que é usado então para o TLS / SSL.it identifica a comunicação a autoridade de certificação raiz (CA) que emitiu o certificado do servidor e o certificado do servidor é usado para a comunicação TLS / SSL.
O gateway de aplicativos depende do certificado do site por padrão, se ele for assinado por uma entidade de certificação conhecida (por exemplo, Godaddy ou Digitert) .Application Gateway confia em seu certificado do site por padrão, se ele estiver assinado por um bem conhecido Ca (por exemplo, godaddy ou digicert). Nesse caso, não é necessário carregar explicitamente o certificado raiz. Você não precisa carregar explicitamente o certificado raiz nesse caso. Para obter mais informações, consulte Introdução ao Terminação de TLS e TLS de ponta a ponta com o Application Gateway.Para mais informações, consulte a visão geral do término do TLS e termine para finalizar TLS com o gateway de aplicativos. No entanto, se você tiver um ambiente de desenvolvimento e teste e não quiser comprar qualquer certificado assinado por uma entidade de certificação comprovada, você pode criar sua própria entidade de certificação personalizada e criar um certificado auto-assinado. No entanto, se você tiver um Dev / Test ambiente e não quer comprar um certificado assinado de CA verificado, você pode criar seu próprio CA personalizado e criar um certificado auto-assinado com ele.
nota
por Padrão, certificados autoassinados não são confiáveis e podem ser difíceis de manter os certificados assinados. Serão confiáveis por padrão e eles podem ser difíceis de missin. Além disso, você pode usar conjuntos de hash e criptografia unisplay que podem não estar seguros. Além disso, eles podem usar suites desatualizados e cifra que podem não fortes. Para melhorar a segurança, compre um certificado assinado por uma entidade de certificação conhecida. Para melhor segurança, compra para certificado assinado por uma autoridade de certificação bem conhecida.
Neste artigo, você aprenderá a: Neste artigo, você aprenderá como:
- Criar sua própria entidade de certificação PersonalizAdacrie sua própria autoridade de certificação personalizada
- Criar um certificado auto-assinado assinado pela entidade de certificação CustomizAdacreate Um certificado auto-assinado assinado pelo seu CA
Carrega um certificado raiz auto-assinado no gateway de aplicativos para autenticar o servidor de back-endupload para o certificado raiz auto-assinado para um gateway de aplicativos para autenticar o servidor de backend
pré-requisitos pré-requisitos
-
openssl em um Windows ou Linuxenssl no computador no computador executando o Windows ou Linux
Embora possa haver Outras ferramentas disponíveis para a administração de certificados, em Este tutorial é usado openssl.while pode haver outras ferramentas disponíveis para gerenciamento de certificados, este tutorial usa openssl. Você pode encontrar OpenSSL incluído em muitas distribuições do Linux, como o Ubuntu.Você pode encontrar o OpenSSL Bundled com muitas distribuições do Linux, como o Ubuntu.
-
Um servidor da Web do servidor da Web
Por exemplo, o Apache, o IIS ou o NGINX para testar os certificados. Por exemplo, Apache, IIS ou NGINX para testar os certificados.
-
SKU Aplicativo V2AN do aplicativo V2AN Gateway v2 sku
Se você não tiver nenhum item de gateway de aplicativo, consulte Início rápido: Endereço de tráfego da Web com o Azure Application Gateway: Azure Portalif Você não possui um gateway de aplicativo existente, consulte o QuickStart: direto tráfego da Web com Portal do Azure Application – Portal do Azure.
Criando um certificado de certificado Raiz Criar para root CA Certificate
Criar o certificado de certificação raiz com openssl.criate Certificado de CA raiz usando OpenSSL.
criação da tecla raiz da chave de raiz
-
Entrar no computador onde openSSL está instalado e execute o seguinte comando.sign no seu computador onde o openssl instalado e execute o seguinte comando. Isso cria uma tecla protegida por senha.Esta cria na chave protegida por senha.
openssl ecparam -out contoso.key -name prime256v1 -genkey
-
no símbolo do sistema, digite uma senha Segura Até o prompt, digite a senha forte. Por exemplo, pelo menos nove caracteres, com maiúsculas, minúsculas, números e símbolos. Por exemplo, pelo menos nove caracteres, maiúsculas superiores, minúsculas, números e símbolos.
Criando um certificado de raiz e autofirmadocreate para o certificado raiz e auto-assiná-lo
-
Use os seguintes comandos para gerar o CSR e o certificado.Use os seguintes comandos para gerar o CSR e O certificado.
openssl req -new -sha256 -key contoso.key -out contoso.csropenssl x509 -req -sha256 -days 365 -in contoso.csr -signkey contoso.key -out contoso.crt
Os comandos acima criam o certificado raiz. Os comandos anteriores criam o certificado raiz. Irá usá-lo para assinar o certificado do servidor. Você usará isso para assinar o certificado do servidor.
-
Quando solicitado, digite a senha da chave raiz e as informações da organização do Entidade de certificação personalizada, como país ou região, estado, organização, unidade organizacional e nome de domínio completo (ou seja, o domínio do emissor). Quando solicitado, digite a senha para a chave raiz, e as informações organizacionais da CA personalizada. Como país / região, estado, org, ou o nome de domínio totalmente qualificado (este é o domínio de Theessuer).
Criar um certificado de servidor no certificado do servidor
Em seguida, você criará um certificado de servidor com openssl.next, você criará um certificado de servidor usando OpenSSL.
Crie a tecla CertificateTecreate A tecla do certificado
Use o seguinte comando para gerar a tecla PA RA o certificado do servidor.Use o seguinte comando para gerar a chave para o certificado do servidor.
openssl ecparam -out fabrikam.key -name prime256v1 -genkey
Crie o CSR (solicitação de assinatura de certificados) .Criar o CSR (Solicitação de assinatura de certificado)
O CSR é uma chave pública atribuída a uma entidade de certificação ao solicitar um certificado. O CSR é uma chave pública que é dada a um CA ao solicitar certificado. A entidade de certificação emite o certificado para esta solicitação específica. O CA emite o certificado para este especificativo.
Nota
O nome comum (CN) do certificado do servidor deve Seja diferente do domínio do emissor. O CN (nome comum) para o certificado do servidor deve ser diferente do domínio do emissor. Por exemplo, nesse caso, o CN do emissor é e o CN do certificado do servidor é www.fabrikam.com
.Por exemplo, em Este caso, o CN para o emissor é www.contoso.com
e o CN do certificado do servidor é www.fabrikam.com
.
-
use o seguinte comando para gerar o CSR: use o seguinte comando para gerar o CSR:
openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr
-
Quando solicitado, digite a senha da tecla raiz e informações da organização da entidade de certificação personalizada: país ou região, estado, organização, unidade organizacional e nome de domínio total. Quando solicitado, digite a senha para a tecla raiz, e Informações organizacionais para o Custom CA: país / região, estado, org, ou e o nome de domínio totalmente qualificado. Este é o domínio do site e deve ser diferente do emitério.Este é o domínio do site e deve ser diferente de Theessuer.
geração do certificado com o CSR e a chave e assinatura com a tecla raiz da certificação Entitygenerar o certificado com o CSR e a chave e assinam com o CA tecla raiz
-
Use o seguinte comando para criar o certificado: use o seguinte comando para criar o certificado:
openssl x509 -req -in fabrikam.csr -CA contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256
verificando o certificado recém-criadoverify o certificado recém-criado
-
Use o seguinte comando para imprimir o resultado do arquivo CRT e verificar seu conteúdo: use O seguinte comando para imprimir a saída do arquivo CRT e verificar seu conteúdo:
openssl x509 -in fabrikam.crt -text -noout
-
Verifique os arquivos de arquivo Torium e certifique-se de ter os seguintes arquivos: Verifique os arquivos em seu diretório e certifique-se de ter os seguintes arquivos:
- contoso.crtcontoso.crt
- contoso.key .key
- fabrikam.crtfabrikam.crt
- fabrikam.keyfabrikam.Tecla
Configuração de certificado na configuração TLS do WebConfigure o certificado nas configurações TLS do servidor da Web
no servidor da Web, configure TLS com Fabrikam.crt e Fabrikam.Key.in seus arquivos do servidor da Web, configurar TLs usando os arquivos Fabrikam.cr e Fabrikam.key. Se o servidor da Web não puder receber dois arquivos, você poderá combiná-los em um único arquivo .pem ou .pfx usando o OpenSl.Se seu servidor da Web não pode levar dois arquivos, poderá combiná-los em um único arquivo .pem ou .pfx. Comandos OpenSSL.
IISIIS
Para obter instruções sobre como importar o certificado e carregá-lo como um certificado do servidor no IIS, consulte Procedimento: Instalando certificados importados em um servidor da Web no Windows Server 2003 . Para obter instruções sobre como importar certificado e enviá-los como certificado do servidor no IIS, consulte Como: Instalar certificados importados em um servidor da Web no Windows Server 2003.
para as instruções do link TLS, consulte a configuração SSL no IIS 7. Para obter instruções de ligação TLS, consulte Como configurar SSL no IIS 7.
AppACHETTING
A seguinte configuração é um exemplo de host virtual configurado para SSL no Apache: A seguinte configuração é Um exemplo virtual host configurado para SSL no Apache:
<VirtualHost www.fabrikam:443> DocumentRoot /var/www/fabrikam ServerName www.fabrikam.com SSLEngine on SSLCertificateFile /home/user/fabrikam.crt SSLCertificateKeyFile /home/user/fabrikam.key</VirtualHost>
nginxnginx
A seguinte configuração é um exemplo do bloco do servidor NginX com a configuração do TLS: A seguinte configuração é um Exemplo NGINX Servidor Bloco com Configuração TLS:
Acesso ao servidor para verificar o ConfigurationAccess O servidor para verificar Configuração
-
Adicione o certificado raiz ao armazenamento raiz raiz da máquina.Adicione o certificado raiz para a loja raiz confiável da sua máquina. Ao acessar o site, certifique-se de que toda a cadeia de certificados é vista no Explorer.Quando acesso ao site, certifique-se de que toda a cadeia de certificados seja vista no navegador.
Observação
É assumido que o DNS deveria apontar o nome do servidor da Web (neste exemplo, www. Fabrikam.com) No endereço IP da web.it assume que o servidor DNS foi configurado para apontar o nome do servidor da Web (neste exemplo, www.fabrikam.com) para o endereço IP do seu servidor da Web. Caso contrário, você pode editar o arquivo host para resolver o nome.Se não, você poderá editar o arquivo hosts para resolver o nome.
-
Vá para o seu site e clique no ícone de bloqueio localizado na caixa Endereço do navegador para verificar informações do site e certificado.browse ao seu site e clique no ícone de bloqueio na caixa de endereço do seu navegador para verificar as informações do site e do certificado.
verificando a configuração com o OPENSSLVerifique a configuração com o OPSSL
ou, você pode usar o openSSL para verificar o certificado.or, você pode usar o OpenSSL para verificar o certificado.
openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts
Carregando certificado raiz na configuração HTTP do aplicativo GatewayUpload o certificado raiz para Configurações HTTP do aplicativo
Para carregar o certificado no gateway do aplicativo, você deve exportar o certificado .crt C Em um formato .cer, codificado na base 64.Para fazer upload do certificado no gateway de aplicativos, você deve exportar o certificado .crt para uma base de formato .CR, codificada. Como já contém a chave pública no formato codificado na base 64, você só precisa alterar o nome da extensão do arquivo .crt para .crt .crt já contém a chave pública no formato codificado base-64, apenas Renomear a extensão de arquivo de .crt para .cer.
Portal Portalazure do Azure
Para carregar o certificado raiz confiável do portal, selecione Configurações HTTP e escolha o protocolo HTTPS. Para carregar o Certificado de raiz confiável do portal, selecione as configurações HTTP e escolha o protocolo HTTPS.
Azure Powershellazure PowerShell
ou, você pode usar o Azure ou o Azure PowerShell CLI para carregar o certificado raiz.or, você pode usar o Azure CLI ou o Azure PowerShell para carregar o certificado raiz. O seguinte código é um exemplo de Azure PowerShell. O código de acompanhamento é uma amostra do Azure PowerShell.
Nota
No exemplo a seguir, um certificado raiz real é adicionado ao aplicativo Gateway, uma nova configuração HTTP é criada e uma nova regra é adicionada, assumindo que o grupo de back-end e o cliente de audição já existem.A seguinte amostra adiciona um certificado raiz confiável ao gateway do aplicativo, cria uma nova configuração HTTP e adiciona uma nova regra, assumindo o back-end e o ouvinte já existe.
## Add the trusted root certificate to the Application Gateway$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOneAdd-AzApplicationGatewayTrustedRootCertificate ` -ApplicationGateway $gw ` -Name CustomCARoot ` -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate ` -Name CustomCARoot ` -ApplicationGateway $gw## Get the listener, backend pool and probe$listener = Get-AzApplicationGatewayHttpListener ` -Name basichttps ` -ApplicationGateway $gw$bepool = Get-AzApplicationGatewayBackendAddressPool ` -Name testbackendpool ` -ApplicationGateway $gwAdd-AzApplicationGatewayProbeConfig ` -ApplicationGateway $gw ` -Name testprobe ` -Protocol Https ` -HostName "www.fabrikam.com" ` -Path "/" ` -Interval 15 ` -Timeout 20 ` -UnhealthyThreshold 3$probe = Get-AzApplicationGatewayProbeConfig ` -Name testprobe ` -ApplicationGateway $gw## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field## to the domain name of the server certificate as this will be set as the SNI header and## will be used to verify the backend server's certificate. Note that TLS handshake will## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probesAdd-AzApplicationGatewayBackendHttpSettings ` -ApplicationGateway $gw ` -Name testbackend ` -Port 443 ` -Protocol Https ` -Probe $probe ` -TrustedRootCertificate $trustedroot ` -CookieBasedAffinity Disabled ` -RequestTimeout 20 ` -HostName www.fabrikam.com## Get the configuration and update the Application Gateway$backendhttp = Get-AzApplicationGatewayBackendHttpSettings ` -Name testbackend ` -ApplicationGateway $gwAdd-AzApplicationGatewayRequestRoutingRule ` -ApplicationGateway $gw ` -Name testrule ` -RuleType Basic ` -BackendHttpSettings $backendhttp ` -HttpListener $listener ` -BackendAddressPool $bepoolSet-AzApplicationGateway -ApplicationGateway $gw
comprobación del estado de back-end de una instancia de aplicação gatewayverificar a aplicação gateway backend saúde
- haga clic en la vista estado de back-end de la instancia de Gateway Para Comprenar Si El Estado Del Sondeo Es Correcto.Clique a visão de saúde do backend do seu pedido de entrada para verificar se a sonda é saudável.
- debería ver que el estado es correcto para el sondeo https.Você deve ver que o status é saudável para a sonda HTTPS.
para obtimer más informaçación SSL \ TLS pt gateway, consulta introducción a La Terminación TLS YA TLS de Extremo A Extremo Con Application Gateway.Para Saiba mais sobre SSL \ TLS no Application Gateway, consulte Visão geral do término do TLS e termine para finalizar TLS com gateway de aplicativo.