Megosztás a következőn keresztül:

Teljes körű TLS konfigurálása az Application Gateway használatával a portálon

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhatja az Azure Portalt a teljes körű Transport Layer Security (TLS) titkosítás , korábbi nevén Secure Sockets Layer (SSL) titkosítás konfigurálásához Azure-alkalmazás Gateway v1 termékváltozatán keresztül.

Megjegyzés:

Az Application Gateway v2 termékváltozata megbízható főtanúsítványokat igényel a teljes körű konfiguráció engedélyezéséhez.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Előkészületek

A teljes körű TLS alkalmazásátjáróval való konfigurálásához tanúsítványra van szükség az átjáróhoz. A háttérkiszolgálókhoz tanúsítványra is szükség van. Az átjárótanúsítvány a TLS protokoll specifikációjának megfelelő szimmetrikus kulcs származtatására szolgál. A szimmetrikus kulcs ezután az átjárónak küldött forgalom titkosítására és visszafejtésére szolgál.

A végpontok közötti TLS-titkosításhoz engedélyezni kell a jobb háttérkiszolgálók használatát az Application Gatewayben. A hozzáférés engedélyezéséhez töltse fel a háttérkiszolgálók nyilvános tanúsítványát, más néven hitelesítési tanúsítványokat (v1) vagy megbízható főtanúsítványokat (v2) az Application Gatewaybe. A tanúsítvány hozzáadása biztosítja, hogy az Application Gateway csak ismert háttérpéldányokkal kommunikáljon. Ez a konfiguráció tovább védi a végpontok közötti kommunikációt.

Fontos

Ha hibaüzenetet kap a háttérkiszolgáló-tanúsítványról, ellenőrizze, hogy az előtértanúsítvány közös neve (CN) megegyezik-e a háttértanúsítvány CN-ével. További információ: Megbízható főtanúsítvány eltérése

További információ: A TLS megszüntetésének és végpontok közötti TLS-nek az Application Gateway használatával történő áttekintése.

Új application gateway létrehozása végpontok közötti TLS használatával

Ha egy új, végpontok közötti TLS-titkosítással rendelkező alkalmazásátjárót szeretne létrehozni, először engedélyeznie kell a TLS leállítását egy új alkalmazásátjáró létrehozásakor. Ez a művelet lehetővé teszi a TLS-titkosítást az ügyfél és az Application Gateway közötti kommunikációhoz. Ezután fel kell vennie a Széf Címzettek listára a háttérkiszolgálók tanúsítványait a HTTP-beállítások között. Ez a konfiguráció lehetővé teszi a TLS-titkosítást az Application Gateway és a háttérkiszolgálók közötti kommunikációhoz. Ez a végpontok közötti TLS-titkosítást valósítja meg.

TLS-megszakítás engedélyezése új application gateway létrehozásakor

További információ: TLS-megszakítás engedélyezése új application gateway létrehozásakor.

Háttérkiszolgálók hitelesítési/főtanúsítványainak hozzáadása

  1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

  2. A bal oldali menüben válassza a HTTP-beállításokat . Az Azure automatikusan létrehozott egy alapértelmezett HTTP-beállítást( appGatewayBackendHttp Gépház, amikor létrehozta az application gatewayt.

  3. Válassza az appGatewayBackendHttp Gépház lehetőséget.

  4. A Protokoll területen válassza a HTTPS lehetőséget. Megjelenik egy panel a háttérbeli hitelesítési tanúsítványokhoz vagy a megbízható főtanúsítványokhoz .

  5. Válassza az Új létrehozása lehetőséget.

  6. A Név mezőben adjon meg egy megfelelő nevet.

  7. Válassza ki a tanúsítványfájlt a CER-tanúsítvány feltöltése mezőben.

    Standard és WAF (v1) alkalmazásátjárók esetén .cer formátumban kell feltöltenie a háttérkiszolgáló-tanúsítvány nyilvános kulcsát.

    Add certificate

    Az Standard_v2 és WAF_v2 alkalmazásátjárók esetében a háttérkiszolgáló tanúsítványának főtanúsítványát .cer formátumban kell feltöltenie. Ha a háttértanúsítványt egy jól ismert hitelesítésszolgáltató (CA) állítja ki, jelölje be a Jól ismert hitelesítésszolgáltatói tanúsítvány használata jelölőnégyzetet, és nem kell feltöltenie a tanúsítványt.

    Add trusted root certificate

    Root certificate

  8. Válassza a Mentés parancsot.

Végpontok közötti TLS engedélyezése meglévő application Gatewayhez

Ha egy meglévő alkalmazásátjárót teljes körű TLS-titkosítással szeretne konfigurálni, először engedélyeznie kell a TLS-megszakítást a figyelőben. Ez a művelet lehetővé teszi a TLS-titkosítást az ügyfél és az application gateway közötti kommunikációhoz. Ezután helyezze a háttérkiszolgálók tanúsítványait a Széf Címzettek listájának HTTP-beállításai közé. Ez a konfiguráció lehetővé teszi a TLS-titkosítást az Application Gateway és a háttérkiszolgálók közötti kommunikációhoz. Ez a végpontok közötti TLS-titkosítást valósítja meg.

A TLS-megszakítás engedélyezéséhez egy figyelőt és egy tanúsítványt kell használnia a HTTPS protokollal. Használhat olyan meglévő figyelőt, amely megfelel ezeknek a feltételeknek, vagy létrehozhat egy új figyelőt. Ha a korábbi lehetőséget választja, figyelmen kívül hagyhatja a következő "TLS-megszakítás engedélyezése meglévő application gatewayben" szakaszt, és közvetlenül a "Hitelesítés/megbízható főtanúsítványok hozzáadása háttérkiszolgálókhoz" szakaszra léphet.

Ha az utóbbi lehetőséget választja, kövesse az alábbi eljárás lépéseit.

TLS-megszakítás engedélyezése meglévő application gatewayen

  1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

  2. Válassza a Figyelők lehetőséget a bal oldali menüből.

  3. Válassza az alapszintű vagy a többhelyes figyelőt a követelményektől függően.

  4. A Protokoll területen válassza a HTTPS lehetőséget. Megjelenik a Tanúsítvány panel.

  5. Töltse fel az ügyfél és az application gateway közötti TLS-megszakításhoz használni kívánt PFX-tanúsítványt.

    Megjegyzés:

    Tesztelési célokra használhat önaláírt tanúsítványt. Ez azonban nem ajánlott éles számítási feladatok esetében, mert nehezebben kezelhetők, és nem teljesen biztonságosak. További információ: önaláírt tanúsítvány létrehozása.

  6. A követelményektől függően adjon hozzá további szükséges beállításokat a figyelőhöz.

  7. A mentéshez kattintson az OK gombra.

Hitelesítés/megbízható főtanúsítványok hozzáadása háttérkiszolgálókhoz

  1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

  2. A bal oldali menüben válassza a HTTP-beállításokat . A tanúsítványokat elhelyezheti egy meglévő háttérbeli HTTP-beállításban a Széf Címzettek listában, vagy létrehozhat egy új HTTP-beállítást. (A következő lépésben az alapértelmezett HTTP-beállítás, az appGatewayBackendHttp Gépház tanúsítványa hozzáadódik a Széf Címzettek listájához.)

  3. Válassza az appGatewayBackendHttp Gépház lehetőséget.

  4. A Protokoll területen válassza a HTTPS lehetőséget. Megjelenik egy panel a háttérbeli hitelesítési tanúsítványokhoz vagy a megbízható főtanúsítványokhoz .

  5. Válassza az Új létrehozása lehetőséget.

  6. A Név mezőben adjon meg egy megfelelő nevet.

  7. Válassza ki a tanúsítványfájlt a CER-tanúsítvány feltöltése mezőben.

    Standard és WAF (v1) alkalmazásátjárók esetén .cer formátumban kell feltöltenie a háttérkiszolgáló-tanúsítvány nyilvános kulcsát.

    Add certificate

    Az Standard_v2 és WAF_v2 alkalmazásátjárók esetében a háttérkiszolgáló tanúsítványának főtanúsítványát .cer formátumban kell feltöltenie. Ha a háttértanúsítványt egy jól ismert hitelesítésszolgáltató állítja ki, jelölje be a Jól ismert hitelesítésszolgáltatói tanúsítvány használata jelölőnégyzetet, és nem kell feltöltenie a tanúsítványt.

    Add trusted root certificate

  8. Válassza a Mentés parancsot.

Következő lépések

Webes forgalom kezelése Application Gatewayjel az Azure CLI segítségével