Dela via

Skapa certifikat för att tillåta serverdelen med Azure Application Gateway

För att göra end-to-end-TLS kräver Application Gateway att back-end-instanserna tillåts genom att ladda upp autentiserande/betrodda rotcertifikat. För v1 SKU krävs autentiseringscertifikat, men för v2 SKU krävs betrodda rotcertifikat för att tillåta certifikaten.

I den här artikeln lär du dig att:

  • Exportera autentiseringscertifikat från ett serverdelscertifikat (för v1 SKU)
  • Exportera betrott rotcertifikat från ett certifikat för bakomliggande system (för v2 SKU)

Förutsättningar

Ett befintligt serverdelscertifikat krävs för att generera de autentiseringscertifikat eller betrodda rotcertifikat som krävs för att tillåta serverdelsinstanser med Application Gateway. Serverdelscertifikatet kan vara detsamma som TLS/SSL-certifikatet eller annorlunda för ökad säkerhet. Application Gateway ger dig ingen mekanism för att skapa eller köpa ett TLS/SSL-certifikat. I testsyfte kan du skapa ett självsignerat certifikat, men du bör inte använda det för produktionsarbetsbelastningar.

Exportera autentiseringscertifikat (för v1 SKU)

Ett autentiseringscertifikat krävs för att möjliggöra backendinstanser i Application Gateway v1 SKU. Autentiseringscertifikatet är den offentliga nyckeln för serverns bakgrundscertifikat i Base-64-kodade X.509 (.CER)-format. I det här exemplet använder du ett TLS/SSL-certifikat för serverdelscertifikatet och exporterar dess offentliga nyckel som ska användas som autentiseringscertifiering. I det här exemplet ska du också använda verktyget Windows Certificate Manager för att exportera de certifikat som krävs. Du kan välja att använda andra verktyg som är praktiska.

Från ditt TLS/SSL-certifikat exporterar du den offentliga nyckeln .cer filen (inte den privata nyckeln). Följande steg hjälper dig att exportera .cer-filen i Base-64-kodad X.509(. CER)-format för certifikatet:

  1. Om du vill hämta en .cer fil från certifikatet öppnar du Hantera användarcertifikat. Leta upp certifikatet (vanligtvis i "Certifikat – aktuell användare\personligt\certifikat") och högerklicka. Klicka på Alla uppgifter och sedan på Exportera. Guiden Exportera certifikat öppnas. Om du vill öppna Certifikathanteraren i det aktuella användaromfånget med hjälp av PowerShell skriver du certmgr i konsolfönstret.

    Anmärkning

    Om du inte hittar certifikatet under Aktuell användare\Personlig\Certifikat kan du av misstag ha öppnat "Certifikat – lokal dator" i stället för "Certifikat – aktuell användare").

    Skärmbild som visar Certifikathanteraren med Certifikat markerat och en snabbmeny med Alla aktiviteter och sedan Exportera markerat.

  2. I guiden klickar du på Nästa.

    Exportera certifikat

  3. Välj Nej, exportera inte den privata nyckeln och klicka sedan på Nästa.

    Exportera inte den privata nyckeln

  4. På sidan Exportera filformat väljer du Base-64-kodad X.509 (. CER)., och klicka sedan på Nästa.

    Base-64-kodad

  5. För Fil att exportera bläddrar du till den plats där du vill exportera certifikatet. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

    Skärmbild som visar guiden Certifikatexport där du anger en fil som ska exporteras.

  6. Klicka på Slutför för att exportera certifikatet.

    Skärmbild som visar guiden Certifikatexport när du har slutfört filexporten.

  7. Certifikatet har exporterats.

    Skärmbild som visar guiden Exportera certifikat med ett meddelande om att det lyckades.

    Det exporterade certifikatet ser ut ungefär så här:

    Skärmbild som visar en certifikatsymbol.

  8. Om du öppnar det exporterade certifikatet med Anteckningar visas något som liknar det här exemplet. Avsnittet i blått innehåller den information som laddas upp till programgatewayen. Om du öppnar certifikatet med Anteckningar och det inte ser ut ungefär så här innebär det vanligtvis att du inte exporterade det med base-64-kodade X.509(. CER-format. Om du vill använda en annan textredigerare kan du dessutom förstå att vissa redigerare kan introducera oavsiktlig formatering i bakgrunden. Detta kan skapa problem när texten laddas upp från det här certifikatet till Azure.

    Öppna med Anteckningar

Exportera betrott root-certifikat (för v2 SKU)

Betrodat rotcertifikat krävs för att tillåta bakgrundsinstanser i Application Gateway v2 SKU. Rotcertifikatet är ett Base-64-kodat X.509(.CER) format i rotcertifikat från backendserverns certifikat. I det här exemplet använder vi ett TLS/SSL-certifikat för serverdelscertifikatet, exporterar dess offentliga nyckel och exporterar sedan rotcertifikatet för den betrodda certifikatutfärdaren från den offentliga nyckeln i base64-kodat format för att hämta det betrodda rotcertifikatet. De mellanliggande certifikaten bör paketeras med servercertifikatet och installeras på den bakomliggande servern.

Följande steg hjälper dig att exportera .cer-filen för certifikatet:

  1. Använd stegen 1–8 som nämns i föregående avsnitt Exportera autentiseringscertifikat (för v1 SKU) för att exportera den offentliga nyckeln från serverdelscertifikatet.

  2. När den offentliga nyckeln har exporterats öppnar du filen.

    Öppna auktoriseringscertifikat

    om certifikat

  3. Flytta till vyn Certifieringsväg för att visa certifikatutfärdaren.

    cert-information

  4. Välj rotcertifikatet och klicka på Visa certifikat.

    cert-sökväg

    Du bör se rotcertifikatuppgifterna.

    cert info

  5. Flytta till vyn Information och klicka på Kopiera till fil...

    kopiera rotcertifikat

  6. Nu har du extraherat information om rotcertifikatet från serverdelscertifikatet. Certifikatexportguiden visas. Använd nu steg 2–9 som nämns i föregående avsnitt Exportera autentiseringscertifikat från ett serverdelscertifikat (för v1 SKU) för att exportera det betrodda rotcertifikatet i Base-64-kodade X.509(. CER-format.

Nästa steg

Nu har du autentiseringscertifikatet/det betrodda rotcertifikatet i Base-64-kodad X.509(. CER-format. Du kan lägga till detta i programgatewayen för att möjliggöra TLS-kryptering från början till slut på dina bakomliggande servrar. Se Konfigurera TLS från slutpunkt till slutpunkt med hjälp av Application Gateway med PowerShell.