通过门户配置应用程序网关的相互身份验证

本文介绍如何使用 Azure 门户在应用程序网关上配置相互身份验证。 相互身份验证意味着应用程序网关使用上传到应用程序网关的客户端证书对发送请求的客户端进行身份验证。

如果没有 Azure 订阅，请在开始之前创建一个免费帐户。

在您开始之前

若要配置应用程序网关的相互身份验证，需要客户端证书才能上传到网关。 客户端证书将用于验证客户端将呈现给应用程序网关的证书。 出于测试目的，可以使用自签名证书。 但是，对于生产工作负荷，不建议这样做，因为它们更难管理且不完全安全。

若要了解有关可以上传的客户端证书类型的详细信息，请参阅 应用程序网关的相互身份验证概述。

创建新的应用程序网关

首先，像往常通过门户一样创建新的应用程序网关 - 创建时无需执行其他步骤即可启用相互身份验证。 有关如何在门户中创建应用程序网关的详细信息，请查看门户 快速入门教程。

配置相互身份验证

若要配置具有相互身份验证的现有应用程序网关，需要首先转到门户中的 “SSL 设置 ”选项卡并创建新的 SSL 配置文件。 创建 SSL 配置文件时，会看到两个选项卡： 客户端身份验证 和 SSL 策略。 “ 客户端身份验证 ”选项卡是上传客户端证书的位置。 “SSL 策略”选项卡是配置侦听器特定的 SSL 策略 - 有关详细信息，请查看“配置特定于侦听器的 SSL 策略”。

1. 在门户中搜索 应用程序网关 ，选择 应用程序网关，然后单击现有的应用程序网关。

2. 从左侧菜单中选择 SSL 设置 。

3. 单击顶部 SSL 配置文件 旁边的加号以创建新的 SSL 配置文件。

4. 在 SSL 配置文件名称下输入名称。 在此示例中，我们调用 SSL 配置文件 applicationGatewaySSLProfile。

5. 保留在 “客户端身份验证 ”选项卡中。使用 “上传新证书 ”按钮上传要用于客户端与应用程序网关之间的相互身份验证的 PEM 证书。

   有关如何提取受信任的客户端 CA 证书链以在此处上传的详细信息，请参阅 如何提取受信任的客户端 CA 证书链。

   注释

   如果这不是第一个 SSL 配置文件，并且已将其他客户端证书上传到应用程序网关，则可以选择通过下拉菜单在网关上重复使用现有证书。

6. 仅当你希望应用程序网关验证客户端证书的直接颁发者可分辨名称时，才选中“验证客户端证书颁发者的 DN”框。

7. 请考虑添加针对侦听器的特定策略。 请参阅 有关设置侦听器特定 SSL 策略的说明。

8. 选择 “添加 ”以保存。

   

将 SSL 配置文件与监听器相关联

配置了相互身份验证的 SSL 配置文件后，需要将 SSL 配置文件关联到侦听器，以完成相互身份验证的设置。

1. 访问现有的应用程序网关。 如果刚刚完成上述步骤，则无需再执行任何操作。

2. 从左侧菜单中选择 侦听器 。

3. 如果尚未设置 HTTPS 侦听器，请单击“ 添加侦听器 ”。 如果已有 HTTPS 监听器，请单击列表中的相应项。

4. 填写 侦听器名称、 前端 IP、 端口、 协议和其他 HTTPS 设置 以满足你的要求。

5. 选中 “启用 SSL 配置文件 ”复选框，以便选择要与侦听器关联的 SSL 配置文件。

6. 从下拉列表中选择刚创建的 SSL 配置文件。 在此示例中，我们将选择前面步骤中创建的 SSL 配置文件： applicationGatewaySSLProfile。

7. 继续配置侦听器的其余部分以满足你的要求。

8. 单击“ 添加” ，保存与新侦听器关联的 SSL 配置文件。

   

续订过期的客户端 CA 证书

如果客户端 CA 证书已过期，可以通过以下步骤更新网关上的证书：

1. 导航到应用程序网关，然后转到左侧菜单中的 “SSL 设置 ”选项卡。

2. 选择使用了已过期客户端证书的现有 SSL 配置文件。

3. 在“客户端身份验证”选项卡中选择“上传新证书”并上传新的客户端证书。

4. 选择过期证书旁边的垃圾桶图标。 这将从 SSL 配置文件中删除该证书的关联。

5. 对使用相同过期客户端证书的任何其他 SSL 配置文件重复上述步骤 2-4。 你将能够从其他 SSL 配置文件的下拉菜单中选择在步骤 3 中上传的新证书。

后续步骤

• 通过 Azure CLI 使用应用程序网关管理 Web 流量