Generarea unui certificat de auto-semnat de gateway de aplicație Azure cu o entitate de certificare a rădăcinilor personalizateGenerate Un certificat de aplicație Azure Gateway cu o rădăcină personalizată CA

  • 07/23/2019
  • Timp de citire: 6 minute
    • v
    • sau

Application Gateway V2 SKU Introduceți utilizarea certificate rădăcină încredere pentru a permite serverelor Back-End.The Application Gateway V2 SKU introduce utilizarea certificatelor de radiculare de încredere pentru a permite serverele de backend. În acest fel, certificatele de autentificare necesare sunt eliminate la SKU V11, elimină certificatele de autentificare necesare în SKU V1. Certificatul rădăcină este un certificat de rădăcină în formatul X.509 codificat pe baza 64 din back-end. Certificatul rădăcină este serverul de certificat pe baza certificatului de rădăcină X.509 (.CER) din Base-64 (.cer) din backend Server de certificate. Identifică entitatea de certificare a rădăcinii care a emis certificatul de server, care este apoi utilizat pentru TLS / SSL. Identifică comunicarea Autoritatea de certificare a rădăcinilor (CA) care a emis certificatul de server și certificatul de server este utilizat pentru comunicarea TLS / SSL.

Gateway-ul aplicației se bazează pe certificatul site-ului în mod implicit dacă este semnat de o entitate de certificare cunoscută (de exemplu, Godaddy sau Digitet) .Application Gateway are încredere în certificatul site-ului dvs. în mod implicit dacă este semnat de o binecunoscută Ca (de exemplu, Godaddy sau Digicert). În acest caz, nu este necesar să încărcați în mod explicit certificatul de rădăcină. Nu trebuie să încărcați în mod explicit certificatul rădăcină în acest caz. Pentru mai multe informații, consultați Introducere în terminarea TLS și TLS End-to-End cu gateway de aplicație. Pentru mai multe informații, consultați Prezentare generală a terminției TLS și sfârșitul la capăt TLS cu gateway-ul aplicației. Cu toate acestea, dacă aveți un mediu de dezvoltare și testare și nu doriți să cumpărați niciun certificat semnat de o entitate de certificare dovedită, vă puteți crea propria entitate personalizată de certificare și puteți crea un certificat autoconectat. Cu toate acestea, dacă aveți un DEV / Test Mediu și nu doresc să achiziționeze un certificat verificat de CA, puteți crea propriul CA personalizat și puteți crea un certificat auto-semnat cu acesta.

Notă

de către Certificatele implicite, autonome nu sunt de încredere și pot fi dificil de întreținut. Certificatele semnate nu sunt de încredere în mod implicit și pot fi dificil de menționat. În plus, puteți utiliza seturi de hash și de criptare care nu pot fi în siguranță. De asemenea, pot folosi apartamentele Hash și Cipher Outdate, care nu pot fi puternice. Pentru a îmbunătăți securitatea, a cumpăra un certificat semnat de o entitate de certificare cunoscută În acest articol, veți învăța cum să:

  • Creați propria entitate de certificare PersonaliziAdaCreate propria autoritate personalizată de certificare
  • Creați un certificat auto-semnat semnat de entitatea de certificare personalizați Un certificat auto-semnat, semnat de CA
  • Încărcați un certificat de rădăcină auto-semnat în gateway-ul aplicației pentru a autentifica serverul back-endupload la un certificat de rădăcină auto-semnat la o gateway de aplicație pentru a autentifica serverul Backend

Prelimiciile preliminare

  • OpenSSL pe un Windows sau Linuxenssl pe computer pe computerul care rulează Windows sau Linux

    Deși ar putea exista Alte instrumente disponibile pentru administrarea certificatelor, în Acest tutorial este folosit openssl.În cazul în care ar putea exista alte instrumente disponibile pentru managementul certificatelor, acest tutorial utilizează openssl. Puteți găsi OpenSSL inclus în mai multe distribuții Linux, cum ar fi Ubuntu.You puteți găsi OpenSsl pachet cu multe distribuții Linux, cum ar fi Ubuntu.

  • un server Web Server Web

    De exemplu, Apache, IIS sau Nginx pentru a testa certificatele. De exemplu, Apache, IIS sau Nginx pentru a testa certificatele.

  • sku de aplicare gateway v2an Aplicație Gateway V2 SKU

    Dacă nu aveți niciun element de gateway de aplicație, consultați Start Quick: Adresa de trafic web cu Azure Application Gateway: Azure Portalif Nu aveți o gateway de aplicație existentă, consultați QuickStart: trafic direct Cu Azure Application Gateway – Portal Azure.

Crearea unui certificat de certificat Root Creare la Root CA Certificat

Crearea rădăcinii certificatului de certificare a entității de certificare cu openssl.create Certificatul dvs. CA de rădăcină utilizând openssl.

Crearea cheii rădăcină de rădăcină

  1. Conectați-vă la computerul în care OpenSSL este instalat și rulați următoarea comandă.Sign în computerul dvs. unde este openssl instalat și rulați următoarea comandă. Acest lucru creează o cheie protejată prin parolă. Acest lucru creează la cheie protejată prin parolă.

    openssl ecparam -out contoso.key -name prime256v1 -genkey
  2. La simbolul sistemului, tastați o parolă Segura ., Prompt, tastați o parolă puternică. De exemplu, cel puțin nouă caractere, cu majuscule, litere mici, numere și simboluri. De exemplu, cel puțin nouă caractere, majusculă superioară, litere mici, numere și simboluri.

Crearea unui certificat de rădăcină și autofirmadocreat la certificatul de rădăcină și se auto-semnează

  1. Utilizați următoarele comenzi pentru a genera CSR și certificatul.Utilizați următoarele comenzi pentru a genera CSR și Certificatul.

    DIV ID = „F2965D6C16”>

Comenzile de mai sus creează certificatul de rădăcină. Comenzile anterioare creează certificatul rădăcină. O va folosi pentru a semna certificatul de server. Vei folosi acest lucru pentru a semna certificatul dvs. de server.

  • Când vi se solicită, introduceți parola cheii de rădăcină și informații Organizarea entitate personalizată de certificare, cum ar fi țara sau regiunea, statul, organizarea, unitatea organizațională și numele de domeniu complet (adică domeniul emitentului). Când ați solicitat, introduceți parola pentru cheia rădăcină și informațiile organizaționale pentru CA personalizate Ca țară / regiune, stat, org, ou, și numele de domeniu complet calificat (acesta este domeniul de sonerii).

    Crearea unui certificat de rădăcină

  • Creați un certificat de certificat de server la certificatul de server

    Apoi, veți crea un certificat de server cu openssl.Next, veți crea un certificat de server utilizând OpenSsl.

    Creați cheia certificatului Cheia certificatului

    Utilizați următoarea comandă pentru a genera tasta PA RA Certificatul de Server.Utilizați următoarea comandă pentru a genera cheia certificatului de server.

    DIV id = „3216d68bb2”>

    Crearea CSR (solicitarea de semnătură a certificatului) (Solicitarea de semnare a certificatelor)

    CSR este o cheie publică care este atribuită unei entități de certificare atunci când solicită un certificat. CSR este o cheie publică care este dată unui CA atunci când solicită certificatul. Entitatea de certificare emite certificatul pentru această solicitare specifică. CA emite certificatul pentru acest specificar.

    Notă

    Numele comun (CN) al certificatului de server trebuie să fie diferită de domeniul emițătorului. CN (Numele comun) pentru certificatul de server trebuie să fie diferit de domeniul emitentului. De exemplu, în acest caz, CN al emițătorului este www.contoso.com și CN al certificatului de server este www.fabrikam.com .Pentru exemplu, în Acest caz, CN pentru Emitent este www.contoso.com și certificatul de server este www.fabrikam.com.

    1. Utilizați următoarea comandă pentru a genera CSR: Utilizați următoarea comandă pentru a genera CSR:

      openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr
    2. Când vi se solicită, introduceți parola cheia rădăcină și informațiile de organizare a entității de certificare personalizate: țară sau regiune, stat, organizație, unitate organizațională și nume de domeniu complet. Când ați solicitat, introduceți parola pentru cheia rădăcină și Informații organizatorice pentru CA: țara / regiunea, statul, org, OU și numele de domeniu complet calificat. Acesta este domeniul site-ului web și trebuie să fie diferit de emițător. Acest lucru este domeniul site-ului web și ar trebui să fie diferit de SusUer.

    Generarea certificatului cu CSR și cheia și semnătura cu cheia rădăcină a entității de certificareGenerat certificatul cu CSR și cheia și semnează cu CA Cheia root

    1. Utilizați următoarea comandă pentru a crea certificatul: Utilizați următoarea comandă pentru a crea certificatul:

      openssl x509 -req -in fabrikam.csr -CA contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256

    Verificarea certificatului nou creat Certificatul nou creat

    1. Utilizați următoarea comandă pentru a imprima rezultatul fișierului CRT și verificați conținutul său: utilizați Următoarea comandă pentru a imprima ieșirea fișierului CRT și pentru a verifica conținutul său:

      Certificat Verificați

    2. Verificați fișierele de fișiere Torium și asigurați-vă că aveți următoarele fișiere: Verificați fișierele din directorul dvs. și asigurați-vă că aveți următoarele fișiere:

      • contoso.crtcontoso.crt
      • contoso.key .Key
      • Fabrikam.crtfabrikam.crt
      • Fabrikam.keyfabrikam.Cheie

    Configurarea certificatului în configurația TLS a WebConfigurare Certificatul din setările TLS ale serverului dvs. Web

    pe serverul web, configurați TLS cu Fabrikam.Crt și Fabrikam.Key.În fișierele dvs. de server Web, configurați TLS utilizând fișierele Fabrikam.crt și Fabrikam.Key. Dacă serverul Web nu poate primi două fișiere, le puteți combina într-un singur fișier .PEM sau .PFX utilizând openSL.IF Serverul dvs. web nu poate lua două fișiere, le puteți combina într-un singur fișier .PEM sau .PFX utilizând fișierul Comenzi openssl . Pentru instrucțiuni privind importul de certificat și încărcați-le ca certificat de server pe IIS, consultați Cum să: Instalați certificatele importate pe un server Web în Windows Server 2003.

    pentru instrucțiunile linkului TLS, consultați Configurația SSL pe IIS 7.Pentru instrucțiuni de legare TLS, consultați modul de configurare a SSL pe IIS 7.

    Aplicare

    Următoarea configurație este un exemplu gazdă virtuală configurat pentru SSL în Apache: următoarea configurație este Un exemplu de gazdă virtuală configurată pentru SSL în Apache:

    divid id = „A6DC95CB04”>

    Nginxginx

    Următoarea configurație este un exemplu de bloc de server Nginx cu configurație TLS: următoarea configurație este un Exemplu de bloc de server Nginx cu configurație TLS:

    Nginx cu TLS

    acces la server pentru a verifica serverul de configurare pentru a verifica Configurație

    1. Adăugați certificatul de rădăcină la magazinul rădăcină rădăcină al mașinii. Adăugați certificatul de rădăcină la magazinul de rădăcini de încredere al mașinii. Atunci când accesează site-ul web, asigurați-vă că întregul lanț de certificate este văzut în browser. „> Certificatele de radiculare de încredere

      Notă

      Se presupune că DNS ar fi trebuit să indice numele serverului web (în acest exemplu, www. Fabrikam.com) la adresa IP a Web.it presupus că serverul DNS a fost configurat să indice numele serverului web (în acest exemplu, www.fabrikam .com) la adresa IP a serverului dvs. web. Dacă nu, puteți edita fișierul gazdă pentru a rezolva numele. Dacă nu, puteți edita fișierul gazde pentru a rezolva numele.

    2. Du-te la site-ul dvs. Web și faceți clic pe pictograma Blocare situată în caseta de adresă a browserului pentru a verifica informațiile despre site și certificatul. Growse pe site-ul dvs. și faceți clic pe pictograma Blocare din caseta de adresă a browserului pentru a verifica informația site-ului și a certificatului

    Verificarea configurației cu openssLverifle configurația cu OWSSL

    sau, puteți utiliza openssl pentru a verifica certificatul.or, puteți utiliza openssl pentru a verifica certificatul.

    openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts

    OpenSSL Certificatul Verificați

    Încărcarea certificatului de rădăcină în configurația HTTP a aplicației GatewayUpload certificatul rădăcină la Aplicații HTTWAY Settings HTTP

    Pentru a încărca certificatul la gateway-ul aplicației, trebuie să exportați certificatul .crt c Pe un format .cer codificat pe baza 64. Pentru a încărca certificatul în gateway-ul aplicației, trebuie să exportați certificatul .CRT într-o bază de format .CER-64 codificat. Deoarece.Crt conține deja cheia publică în formatul codificat pe baza 64, trebuie doar să modificați numele extensiei fișierelor .CRT la .cer.since .Crt conține deja cheia publică în formatul codificat Base-64, doar Redenumiți extensia de fișier de la .CRT la .cer.

    Azure Portal Portal

    Pentru a încărca certificatul de rădăcină de încredere din portal, selectați HTTP setări și alegeți protocolul HTTPS. Pentru a încărca Certificat de rădăcină de încredere din portal, selectați setările HTTP și alegeți protocolul HTTPS.

    Adăugarea unui certificat utilizând portalul

    Azure Powershellazure PowerShell

    sau, puteți utiliza Azure sau Azure Powershell CLI pentru a încărca certificatul de rădăcină.or, puteți utiliza Azure Cli sau Azure PowerShell pentru a încărca certificatul de rădăcină. Următorul cod este un exemplu de Azure PowerShell. Codul Urmare este un eșantion PowerShell Azure.

    Notă

    În exemplul următor se adaugă un certificat de rădăcină reală la aplicare Gateway, se creează o nouă configurație HTTP și se adaugă o nouă regulă, presupunând că există deja grupul de back-end și clientul de ascultare.Următorul eșantion adaugă un certificat de rădăcină de încredere la gateway-ul aplicației, creează o nouă setare HTTP și adaugă o nouă regulă, presupunând că există deja biserica și ascultătorul.

    ## Add the trusted root certificate to the Application Gateway$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOneAdd-AzApplicationGatewayTrustedRootCertificate ` -ApplicationGateway $gw ` -Name CustomCARoot ` -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate ` -Name CustomCARoot ` -ApplicationGateway $gw## Get the listener, backend pool and probe$listener = Get-AzApplicationGatewayHttpListener ` -Name basichttps ` -ApplicationGateway $gw$bepool = Get-AzApplicationGatewayBackendAddressPool ` -Name testbackendpool ` -ApplicationGateway $gwAdd-AzApplicationGatewayProbeConfig ` -ApplicationGateway $gw ` -Name testprobe ` -Protocol Https ` -HostName "www.fabrikam.com" ` -Path "/" ` -Interval 15 ` -Timeout 20 ` -UnhealthyThreshold 3$probe = Get-AzApplicationGatewayProbeConfig ` -Name testprobe ` -ApplicationGateway $gw## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field## to the domain name of the server certificate as this will be set as the SNI header and## will be used to verify the backend server's certificate. Note that TLS handshake will## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probesAdd-AzApplicationGatewayBackendHttpSettings ` -ApplicationGateway $gw ` -Name testbackend ` -Port 443 ` -Protocol Https ` -Probe $probe ` -TrustedRootCertificate $trustedroot ` -CookieBasedAffinity Disabled ` -RequestTimeout 20 ` -HostName www.fabrikam.com## Get the configuration and update the Application Gateway$backendhttp = Get-AzApplicationGatewayBackendHttpSettings ` -Name testbackend ` -ApplicationGateway $gwAdd-AzApplicationGatewayRequestRoutingRule ` -ApplicationGateway $gw ` -Name testrule ` -RuleType Basic ` -BackendHttpSettings $backendhttp ` -HttpListener $listener ` -BackendAddressPool $bepoolSet-AzApplicationGateway -ApplicationGateway $gw 

    Comprobación Del Estado de Back-end de UN INSTANCIA DE APLICAȚII GATEWAYVERIFICAREA APLICAȚII Gateway Backend Health

    1. Haga Clic en La Vista Estado de Back-end de la Instancia De cerere Gateway Para Comprobar Si El Estado del Sondeo ES CORECTO.CLICK BACKEND HEALT VIZUALIZARE A GATEWAY-ului aplicației pentru a verifica dacă sonda este sănătoasă.
    2. Debería ver que el estado es coreloc para el sondeo https.you ar trebui să vezi că starea este sănătoasă pentru sonda HTTPS.

    sondeo https

    para obtinentă más información sobre ssl \ tls en aplicație gateway, consulte introducción a la termacipión tls ya tls de extremo o gateway extremo con aplicație.Pentru a afla mai multe despre ssl \ tls în gateway-ul aplicației, consultați Prezentare generală a terminției TLS și sfârșitul la capăt TLS cu gateway-ul aplicației.

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *