Generarea unui certificat de auto-semnat de gateway de aplicație Azure cu o entitate de certificare a rădăcinilor personalizateGenerate Un certificat de aplicație Azure Gateway cu o rădăcină personalizată CA

• 07/23/2019
• Timp de citire: 6 minute
• • v
  • sau

Application Gateway V2 SKU Introduceți utilizarea certificate rădăcină încredere pentru a permite serverelor Back-End.The Application Gateway V2 SKU introduce utilizarea certificatelor de radiculare de încredere pentru a permite serverele de backend. În acest fel, certificatele de autentificare necesare sunt eliminate la SKU V11, elimină certificatele de autentificare necesare în SKU V1. Certificatul rădăcină este un certificat de rădăcină în formatul X.509 codificat pe baza 64 din back-end. Certificatul rădăcină este serverul de certificat pe baza certificatului de rădăcină X.509 (.CER) din Base-64 (.cer) din backend Server de certificate. Identifică entitatea de certificare a rădăcinii care a emis certificatul de server, care este apoi utilizat pentru TLS / SSL. Identifică comunicarea Autoritatea de certificare a rădăcinilor (CA) care a emis certificatul de server și certificatul de server este utilizat pentru comunicarea TLS / SSL.

Gateway-ul aplicației se bazează pe certificatul site-ului în mod implicit dacă este semnat de o entitate de certificare cunoscută (de exemplu, Godaddy sau Digitet) .Application Gateway are încredere în certificatul site-ului dvs. în mod implicit dacă este semnat de o binecunoscută Ca (de exemplu, Godaddy sau Digicert). În acest caz, nu este necesar să încărcați în mod explicit certificatul de rădăcină. Nu trebuie să încărcați în mod explicit certificatul rădăcină în acest caz. Pentru mai multe informații, consultați Introducere în terminarea TLS și TLS End-to-End cu gateway de aplicație. Pentru mai multe informații, consultați Prezentare generală a terminției TLS și sfârșitul la capăt TLS cu gateway-ul aplicației. Cu toate acestea, dacă aveți un mediu de dezvoltare și testare și nu doriți să cumpărați niciun certificat semnat de o entitate de certificare dovedită, vă puteți crea propria entitate personalizată de certificare și puteți crea un certificat autoconectat. Cu toate acestea, dacă aveți un DEV / Test Mediu și nu doresc să achiziționeze un certificat verificat de CA, puteți crea propriul CA personalizat și puteți crea un certificat auto-semnat cu acesta.

Comenzile de mai sus creează certificatul de rădăcină. Comenzile anterioare creează certificatul rădăcină. O va folosi pentru a semna certificatul de server. Vei folosi acest lucru pentru a semna certificatul dvs. de server.

Când vi se solicită, introduceți parola cheii de rădăcină și informații Organizarea entitate personalizată de certificare, cum ar fi țara sau regiunea, statul, organizarea, unitatea organizațională și numele de domeniu complet (adică domeniul emitentului). Când ați solicitat, introduceți parola pentru cheia rădăcină și informațiile organizaționale pentru CA personalizate Ca țară / regiune, stat, org, ou, și numele de domeniu complet calificat (acesta este domeniul de sonerii).

Creați un certificat de certificat de server la certificatul de server

Apoi, veți crea un certificat de server cu openssl.Next, veți crea un certificat de server utilizând OpenSsl.

Creați cheia certificatului Cheia certificatului

Utilizați următoarea comandă pentru a genera tasta PA RA Certificatul de Server.Utilizați următoarea comandă pentru a genera cheia certificatului de server.

DIV id = „3216d68bb2”>

Crearea CSR (solicitarea de semnătură a certificatului) (Solicitarea de semnare a certificatelor)

CSR este o cheie publică care este atribuită unei entități de certificare atunci când solicită un certificat. CSR este o cheie publică care este dată unui CA atunci când solicită certificatul. Entitatea de certificare emite certificatul pentru această solicitare specifică. CA emite certificatul pentru acest specificar.

1. Utilizați următoarea comandă pentru a genera CSR: Utilizați următoarea comandă pentru a genera CSR:

   openssl req -new -sha256 -key fabrikam.key -out fabrikam.csr

2. Când vi se solicită, introduceți parola cheia rădăcină și informațiile de organizare a entității de certificare personalizate: țară sau regiune, stat, organizație, unitate organizațională și nume de domeniu complet. Când ați solicitat, introduceți parola pentru cheia rădăcină și Informații organizatorice pentru CA: țara / regiunea, statul, org, OU și numele de domeniu complet calificat. Acesta este domeniul site-ului web și trebuie să fie diferit de emițător. Acest lucru este domeniul site-ului web și ar trebui să fie diferit de SusUer.

Generarea certificatului cu CSR și cheia și semnătura cu cheia rădăcină a entității de certificareGenerat certificatul cu CSR și cheia și semnează cu CA Cheia root

1. Utilizați următoarea comandă pentru a crea certificatul: Utilizați următoarea comandă pentru a crea certificatul:

   openssl x509 -req -in fabrikam.csr -CA contoso.crt -CAkey contoso.key -CAcreateserial -out fabrikam.crt -days 365 -sha256

Verificarea certificatului nou creat Certificatul nou creat

1. Utilizați următoarea comandă pentru a imprima rezultatul fișierului CRT și verificați conținutul său: utilizați Următoarea comandă pentru a imprima ieșirea fișierului CRT și pentru a verifica conținutul său:

   

2. Verificați fișierele de fișiere Torium și asigurați-vă că aveți următoarele fișiere: Verificați fișierele din directorul dvs. și asigurați-vă că aveți următoarele fișiere:

   • contoso.crtcontoso.crt
   • contoso.key .Key
   • Fabrikam.crtfabrikam.crt
   • Fabrikam.keyfabrikam.Cheie

Configurarea certificatului în configurația TLS a WebConfigurare Certificatul din setările TLS ale serverului dvs. Web

pe serverul web, configurați TLS cu Fabrikam.Crt și Fabrikam.Key.În fișierele dvs. de server Web, configurați TLS utilizând fișierele Fabrikam.crt și Fabrikam.Key. Dacă serverul Web nu poate primi două fișiere, le puteți combina într-un singur fișier .PEM sau .PFX utilizând openSL.IF Serverul dvs. web nu poate lua două fișiere, le puteți combina într-un singur fișier .PEM sau .PFX utilizând fișierul Comenzi openssl . Pentru instrucțiuni privind importul de certificat și încărcați-le ca certificat de server pe IIS, consultați Cum să: Instalați certificatele importate pe un server Web în Windows Server 2003.

pentru instrucțiunile linkului TLS, consultați Configurația SSL pe IIS 7.Pentru instrucțiuni de legare TLS, consultați modul de configurare a SSL pe IIS 7.

Aplicare

Următoarea configurație este un exemplu gazdă virtuală configurat pentru SSL în Apache: următoarea configurație este Un exemplu de gazdă virtuală configurată pentru SSL în Apache:

divid id = „A6DC95CB04”>

Nginxginx

Următoarea configurație este un exemplu de bloc de server Nginx cu configurație TLS: următoarea configurație este un Exemplu de bloc de server Nginx cu configurație TLS:

acces la server pentru a verifica serverul de configurare pentru a verifica Configurație

1. Adăugați certificatul de rădăcină la magazinul rădăcină rădăcină al mașinii. Adăugați certificatul de rădăcină la magazinul de rădăcini de încredere al mașinii. Atunci când accesează site-ul web, asigurați-vă că întregul lanț de certificate este văzut în browser. „> Certificatele de radiculare de încredere

   Notă

   Se presupune că DNS ar fi trebuit să indice numele serverului web (în acest exemplu, www. Fabrikam.com) la adresa IP a Web.it presupus că serverul DNS a fost configurat să indice numele serverului web (în acest exemplu, www.fabrikam .com) la adresa IP a serverului dvs. web. Dacă nu, puteți edita fișierul gazdă pentru a rezolva numele. Dacă nu, puteți edita fișierul gazde pentru a rezolva numele.

2. Du-te la site-ul dvs. Web și faceți clic pe pictograma Blocare situată în caseta de adresă a browserului pentru a verifica informațiile despre site și certificatul. Growse pe site-ul dvs. și faceți clic pe pictograma Blocare din caseta de adresă a browserului pentru a verifica informația site-ului și a certificatului

Verificarea configurației cu openssLverifle configurația cu OWSSL

sau, puteți utiliza openssl pentru a verifica certificatul.or, puteți utiliza openssl pentru a verifica certificatul.

openssl s_client -connect localhost:443 -servername www.fabrikam.com -showcerts

Încărcarea certificatului de rădăcină în configurația HTTP a aplicației GatewayUpload certificatul rădăcină la Aplicații HTTWAY Settings HTTP

Pentru a încărca certificatul la gateway-ul aplicației, trebuie să exportați certificatul .crt c Pe un format .cer codificat pe baza 64. Pentru a încărca certificatul în gateway-ul aplicației, trebuie să exportați certificatul .CRT într-o bază de format .CER-64 codificat. Deoarece.Crt conține deja cheia publică în formatul codificat pe baza 64, trebuie doar să modificați numele extensiei fișierelor .CRT la .cer.since .Crt conține deja cheia publică în formatul codificat Base-64, doar Redenumiți extensia de fișier de la .CRT la .cer.

Azure Portal Portal

Pentru a încărca certificatul de rădăcină de încredere din portal, selectați HTTP setări și alegeți protocolul HTTPS. Pentru a încărca Certificat de rădăcină de încredere din portal, selectați setările HTTP și alegeți protocolul HTTPS.

Azure Powershellazure PowerShell

sau, puteți utiliza Azure sau Azure Powershell CLI pentru a încărca certificatul de rădăcină.or, puteți utiliza Azure Cli sau Azure PowerShell pentru a încărca certificatul de rădăcină. Următorul cod este un exemplu de Azure PowerShell. Codul Urmare este un eșantion PowerShell Azure.

## Add the trusted root certificate to the Application Gateway$gw=Get-AzApplicationGateway -Name appgwv2 -ResourceGroupName rgOneAdd-AzApplicationGatewayTrustedRootCertificate ` -ApplicationGateway $gw ` -Name CustomCARoot ` -CertificateFile "C:\Users\surmb\Downloads\contoso.cer"$trustedroot = Get-AzApplicationGatewayTrustedRootCertificate ` -Name CustomCARoot ` -ApplicationGateway $gw## Get the listener, backend pool and probe$listener = Get-AzApplicationGatewayHttpListener ` -Name basichttps ` -ApplicationGateway $gw$bepool = Get-AzApplicationGatewayBackendAddressPool ` -Name testbackendpool ` -ApplicationGateway $gwAdd-AzApplicationGatewayProbeConfig ` -ApplicationGateway $gw ` -Name testprobe ` -Protocol Https ` -HostName "www.fabrikam.com" ` -Path "/" ` -Interval 15 ` -Timeout 20 ` -UnhealthyThreshold 3$probe = Get-AzApplicationGatewayProbeConfig ` -Name testprobe ` -ApplicationGateway $gw## Add the configuration to the HTTP Setting and don't forget to set the "hostname" field## to the domain name of the server certificate as this will be set as the SNI header and## will be used to verify the backend server's certificate. Note that TLS handshake will## fail otherwise and might lead to backend servers being deemed as Unhealthy by the probesAdd-AzApplicationGatewayBackendHttpSettings ` -ApplicationGateway $gw ` -Name testbackend ` -Port 443 ` -Protocol Https ` -Probe $probe ` -TrustedRootCertificate $trustedroot ` -CookieBasedAffinity Disabled ` -RequestTimeout 20 ` -HostName www.fabrikam.com## Get the configuration and update the Application Gateway$backendhttp = Get-AzApplicationGatewayBackendHttpSettings ` -Name testbackend ` -ApplicationGateway $gwAdd-AzApplicationGatewayRequestRoutingRule ` -ApplicationGateway $gw ` -Name testrule ` -RuleType Basic ` -BackendHttpSettings $backendhttp ` -HttpListener $listener ` -BackendAddressPool $bepoolSet-AzApplicationGateway -ApplicationGateway $gw 

Comprobación Del Estado de Back-end de UN INSTANCIA DE APLICAȚII GATEWAYVERIFICAREA APLICAȚII Gateway Backend Health

1. Haga Clic en La Vista Estado de Back-end de la Instancia De cerere Gateway Para Comprobar Si El Estado del Sondeo ES CORECTO.CLICK BACKEND HEALT VIZUALIZARE A GATEWAY-ului aplicației pentru a verifica dacă sonda este sănătoasă.
2. Debería ver que el estado es coreloc para el sondeo https.you ar trebui să vezi că starea este sănătoasă pentru sonda HTTPS.

para obtinentă más información sobre ssl \ tls en aplicație gateway, consulte introducción a la termacipión tls ya tls de extremo o gateway extremo con aplicație.Pentru a afla mai multe despre ssl \ tls în gateway-ul aplicației, consultați Prezentare generală a terminției TLS și sfârșitul la capăt TLS cu gateway-ul aplicației.