Tutorial: Konfigurieren eines Application Gateways mit TLS-Terminierung über das Azure-Portal
Sie können im Azure-Portal ein Anwendungsgateway mit einem Zertifikat für die TLS-Terminierung konfigurieren, das virtuelle Computer als Back-End-Server verwendet.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen eines selbstsignierten Zertifikats
- Erstellen eines Anwendungsgateways mit dem Zertifikat
- Erstellen der virtuellen Computer, die als Back-End-Server verwendet werden
- Testen des Anwendungsgateways
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Voraussetzungen
- Ein Azure-Abonnement
Erstellen eines selbstsignierten Zertifikats
In diesem Abschnitt erstellen Sie mit New-SelfSignedCertificate ein selbstsigniertes Zertifikat. Sie laden das Zertifikat ins Azure-Portal hoch, wenn Sie den Listener für das Anwendungsgateway erstellen.
Öffnen Sie auf dem lokalen Computer ein Windows PowerShell-Fenster als Administrator. Führen Sie den folgenden Befehl aus, um das Zertifikat zu erstellen:
New-SelfSignedCertificate `
-certstorelocation cert:\localmachine\my `
-dnsname www.contoso.com
Die Ausgabe sollte in etwa wie die folgende Antwort aussehen:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\my
Thumbprint Subject
---------- -------
E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 CN=www.contoso.com
Verwenden Sie Export-PfxCertificate mit dem zurückgegebenen Fingerabdruck, um eine PFX-Datei aus dem Zertifikat zu exportieren. Die unterstützten PFX-Algorithmen sind unter PFXImportCertStore-Funktion aufgeführt. Stellen Sie sicher, dass Ihr Kennwort vier bis zwölf Zeichen lang ist:
$pwd = ConvertTo-SecureString -String <your password> -Force -AsPlainText
Export-PfxCertificate `
-cert cert:\localMachine\my\E1E81C23B3AD33F9B4D1717B20AB65DBB91AC630 `
-FilePath c:\appgwcert.pfx `
-Password $pwd
Anmelden bei Azure
Melden Sie sich beim Azure-Portal an.
Erstellen eines Anwendungsgateways
Klicken Sie im Menü des Azure-Portals auf + Ressource erstellen>Netzwerk>Application Gateway, oder suchen Sie über das Suchfeld des Portals nach Application Gateway.
Klicken Sie auf Erstellen.
Registerkarte „Grundlagen“
Geben Sie die folgenden Werte auf der Registerkarte Grundeinstellungen ein, oder wählen Sie sie aus:
Ressourcengruppe: Wählen Sie myResourceGroupAG als Ressourcengruppe aus. Falls diese Gruppe nicht vorhanden ist, wählen Sie Neue erstellen aus, um sie zu erstellen.
Name des Anwendungsgateways: Geben Sie myAppGateway als Namen des Anwendungsgateways ein.
Für die Kommunikation in Azure zwischen den von Ihnen erstellten Ressourcen ist ein virtuelles Netzwerk erforderlich. Sie können ein neues virtuelles Netzwerk erstellen oder ein bereits vorhandenes virtuelles Netzwerk auswählen. In diesem Beispiel erstellen Sie gleichzeitig mit dem Anwendungsgateway ein virtuelles Netzwerk. Application Gateway-Instanzen werden in separaten Subnetzen erstellt. In diesem Beispiel erstellen Sie zwei Subnetze: eins für das Anwendungsgateway und eins für die Back-End-Server.
Erstellen Sie unter Virtuelles Netzwerk konfigurieren ein neues virtuelles Netzwerk, indem Sie Neu erstellen auswählen. Geben Sie im Fenster Virtuelles Netzwerk erstellen, das geöffnet wird, die folgenden Werte ein,um das virtuelle Netzwerk und zwei Subnetze zu erstellen:
Name: Geben Sie myVNet als Namen des virtuellen Netzwerks ein.
Subnetzname (Application Gateway-Subnetz): Im Raster Subnetze wird ein Subnetz namens Default angezeigt. Ändern Sie den Namen dieses Subnetzes in myAGSubnet.
Das Subnetz für das Anwendungsgateway kann nur Anwendungsgateways enthalten. Andere Ressourcen sind nicht zulässig.Subnetzname (Subnetz für Back-End-Server): Geben Sie in der zweiten Zeile des Rasters Subnetze in der Spalte Subnetzname den Namen myBackendSubnet ein.
Adressbereich (Subnetz für Back-End-Server): Geben Sie in der zweiten Zeile des Rasters Subnetze einen Adressbereich ein, der sich nicht mit dem Adressbereich des Subnetzes myAGSubnet überschneidet. Wenn der Adressbereich von myAGSubnet beispielsweise 10.0.0.0/24 lautet, geben Sie 10.0.1.0/24 als Adressbereich für myBackendSubnet ein.
Wählen Sie OK aus, um das Fenster Virtuelles Netzwerk erstellen zu schließen und die Einstellungen für das virtuelle Netzwerk zu speichern.
Übernehmen Sie auf der Registerkarte Grundlagen die Standardwerte für die übrigen Einstellungen, und wählen Sie dann Weiter: Front-Ends aus.
Registerkarte Front-Ends
Vergewissern Sie sich auf der Registerkarte Front-Ends, dass der Typ der Front-End-IP-Adresse auf Öffentlich festgelegt ist.
Je nach Anwendungsfall können Sie konfigurieren, dass die Front-End-IP-Adresse öffentlich oder privat ist. In diesem Beispiel verwenden Sie eine öffentliche Front-End-IP-Adresse.Hinweis
Für die Application Gateway v2-SKU können Sie nur die öffentliche Front-End-IP-Konfiguration wählen. Die private Front-End-IP-Konfiguration ist derzeit für diese v2-SKU nicht aktiviert.
Wählen Sie Neu hinzufügen für Öffentliche IP-Adresse aus, und geben Sie myAGPublicIPAddress als Namen der öffentlichen IP-Adresse ein. Wählen Sie dann OK aus.
Klicken Sie auf Weiter: Back-Ends.
Registerkarte Back-Ends
Der Back-End-Pool wird zum Weiterleiten von Anforderungen an die Back-End-Server verwendet, die die Anforderung verarbeiten. Back-End-Pools können Netzwerkadapter, VM-Skalierungsgruppen, öffentliche IP-Adressen, interne IP-Adressen, vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) und Back-Ends mit mehreren Mandanten wie Azure App Service umfassen. In diesem Beispiel erstellen Sie mit Ihrem Anwendungsgateway einen leeren Back-End-Pool und fügen dann Back-End-Ziele zum Back-End-Pool hinzu.
Wählen Sie auf der Registerkarte Back-Ends die Option Back-End-Pool hinzufügen aus.
Geben Sie im Fenster Back-End-Pool hinzufügen, das geöffnet wird, die folgenden Werte ein, um einen leeren Back-End-Pool zu erstellen:
- Name: Geben Sie myBackendPool als Name des Back-End-Pools ein.
- Back-End-Pool ohne Ziele hinzufügen: Wählen Sie Ja aus, um einen Back-End-Pool ohne Ziele zu erstellen. Back-End-Ziele werden Sie nach dem Erstellen des Anwendungsgateways hinzufügen.
Wählen Sie im Fenster Back-End-Pool hinzufügen die Option Hinzufügen aus, um die Konfiguration des Back-End-Pools zu speichern und zur Registerkarte Back-Ends zurückzukehren.
Wählen Sie auf der Registerkarte Back-Ends die Option Weiter: Konfiguration aus.
Registerkarte Konfiguration
Auf der Registerkarte Konfiguration verbinden Sie das Front-End und den von Ihnen erstellten Back-End-Pool mithilfe einer Routingregel.
Wählen Sie in der Spalte Routingregeln die Option Routingregel hinzufügen aus.
Geben Sie im Fenster Routingregel hinzufügen, das geöffnet wird, myRoutingRule als Regelname ein.
Eine Routingregel erfordert einen Listener. Geben Sie im Fenster Routingregel hinzufügen auf der Registerkarte Listener die folgenden Werte für den Listener ein:
- Name des Listeners: Geben Sie myListener als Name für den Listener ein.
- Front-End-IP: Wählen Sie Öffentlich aus, um die für das Front-End erstellte öffentliche IP-Adresse auszuwählen.
- Protokoll: Wählen Sie HTTPS aus.
- Port: Vergewissern Sie sich, dass 443 für den Port eingegeben wurde.
Unter HTTPS-Einstellungen:
Zertifikat auswählen: Wählen Sie Zertifikat hochladen aus.
PFX-Zertifikatsdatei: Navigieren Sie zur zuvor erstellten Datei „c:\appgwcert.pfx“.
Zertifikatname: Geben Sie als Name für das Zertifikat mycert1 ein.
Kennwort: Geben Sie das Kennwort ein, das Sie zum Erstellen des Zertifikats verwendet haben.
Übernehmen Sie auf der Registerkarte Listener die Standardwerte für die übrigen Einstellungen. Wählen Sie dann die Registerkarte Back-End-Ziele aus, um den Rest der Routingregel zu konfigurieren.
Wählen Sie auf der Registerkarte Back-End-Ziele den Pool myBackendPool als Back-End-Ziel aus.
Wählen Sie für die HTTP-Einstellung die Option Neu hinzufügen aus, um eine neue HTTP-Einstellung zu erstellen. Die HTTP-Einstellung bestimmt das Verhalten der Routingregel. Geben Sie im daraufhin geöffneten Fenster HTTP-Einstellung hinzufügen unter Name der HTTP-Einstellung den Namen myHTTPSetting ein. Übernehmen Sie im Fenster HTTP-Einstellung hinzufügen die Standardwerte für die übrigen Einstellungen, und wählen Sie dann Hinzufügen aus, um zum Fenster Routingregel hinzufügen zurückzukehren.
Wählen Sie im Fenster Routingregel hinzufügen die Option Hinzufügen aus, um die Routingregel zu speichern und zur Registerkarte Konfiguration zurückzukehren.
Klicken Sie auf Weiter: Tags und dann auf Weiter: Überprüfen + erstellen.
Registerkarte „Überprüfen und erstellen“
Überprüfen Sie die Einstellungen auf der Registerkarte Überprüfen und erstellen, und wählen Sie dann Erstellen aus, um das virtuelle Netzwerk, die öffentliche IP-Adresse und das Anwendungsgateway zu erstellen. Die Erstellung des Anwendungsgateways in Azure kann einige Minuten in Anspruch nehmen. Warten Sie, bis die Bereitstellung erfolgreich abgeschlossen ist, bevor Sie mit dem nächsten Abschnitt fortfahren.
Hinzufügen von Back-End-Zielen
In diesem Beispiel verwenden Sie virtuelle Computer als Ziel-Back-End. Sie können entweder vorhandene virtuelle Computer verwenden oder neue erstellen. Sie erstellen zwei virtuelle Computer, die von Azure als Back-End-Server für das Anwendungsgateway verwendet werden.
Gehen Sie dazu wie folgt vor:
- Erstellen von zwei neuen virtuellen Computern (myVM und myVM2) für die Verwendung als Back-End-Server
- Installieren von IIS auf den virtuellen Computern, um zu überprüfen, ob die Application Gateway-Instanz erfolgreich erstellt wurde
- Hinzufügen der Back-End-Server zum Back-End-Pool
Erstellen eines virtuellen Computers
Wählen Sie im Azure-Portal-Menü + Ressource erstellen>Compute>Windows Server 2016 Datacenter aus, oder suchen Sie im Suchfeld des Portals nach Windows Server, und wählen Sie Windows Server 2016 Datacenter aus.
Klicken Sie auf Erstellen.
Application Gateway kann Datenverkehr an jeden beliebigen virtuellen Computer weiterleiten, der im Back-End-Pool verwendet wird. In diesem Beispiel verwenden Sie Windows Server 2016 Datacenter.
Geben Sie auf der Registerkarte Grundlagen die folgenden Werte für die VM-Einstellungen ein:
- Ressourcengruppe: Wählen Sie myResourceGroupAG als Namen der Ressourcengruppe aus.
- Name des virtuellen Computers: Geben Sie myVM als Namen der VM ein.
- Benutzername: Geben Sie einen Benutzernamen für den Administrator ein.
- Kennwort: Geben Sie ein Kennwort für das Administratorkonto ein.
Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Weiter: Datenträger.
Übernehmen Sie auf der Registerkarte Datenträger die Standardwerte, und klicken Sie auf Weiter: Netzwerk.
Vergewissern Sie sich auf der Registerkarte Netzwerk, dass myVNet für Virtuelles Netzwerk ausgewählt und Subnetz auf myBackendSubnet festgelegt ist. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Weiter: Verwaltung aus.
Application Gateway kann mit Instanzen außerhalb des eigenen virtuellen Netzwerks kommunizieren, es muss jedoch sichergestellt werden, dass eine IP-Verbindung besteht.
Legen Sie auf der Registerkarte Verwaltung die Option Startdiagnose auf Deaktivieren fest. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie auf Bewerten + erstellen.
Überprüfen Sie auf der Registerkarte Bewerten + erstellen die Einstellungen, beheben Sie alle Validierungsfehler, und wählen Sie dann Erstellen aus.
Warten Sie, bis die Bereitstellung abgeschlossen ist, bevor Sie den Vorgang fortsetzen.
Installieren von IIS für Testzwecke
In diesem Beispiel installieren Sie IIS auf den virtuellen Computern nur, um zu überprüfen, ob Azure das Anwendungsgateway erfolgreich erstellt hat.
Öffnen Sie Azure PowerShell. Wählen Sie dazu in der oberen Navigationsleiste des Azure-Portals Cloud Shell und dann in der Dropdownliste PowerShell aus.
Ändern Sie die Einstellung des Speicherorts für Ihre Umgebung, und führen Sie anschließend den folgenden Befehl aus, um IIS auf dem virtuellen Computer zu installieren:
Set-AzVMExtension ` -ResourceGroupName myResourceGroupAG ` -ExtensionName IIS ` -VMName myVM ` -Publisher Microsoft.Compute ` -ExtensionType CustomScriptExtension ` -TypeHandlerVersion 1.4 ` -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' ` -Location <location>
Erstellen Sie eine zweite VM, und installieren Sie IIS mithilfe der zuvor ausgeführten Schritte. Verwenden Sie myVM2 für den VM-Namen und für die Einstellung VMName des Cmdlets Set-AzVMExtension.
Hinzufügen von Back-End-Servern zu Back-End-Pools
Wählen Sie Alle Ressourcen und dann myAppGateway aus.
Klicken Sie im Menü auf der linken Seite auf Back-End-Pools.
Wählen Sie myBackendPool aus.
Wählen Sie unter Zieltyp in der Dropdownliste die Option Virtueller Computer aus.
Wählen Sie unter Ziel in der Dropdownliste die Netzwerkschnittstelle unter myVM aus.
Wiederholen Sie den Vorgang, um die Netzwerkschnittstelle für myVM2 hinzuzufügen.
Wählen Sie Speichern.
Warten Sie, bis die Bereitstellung abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.
Testen des Anwendungsgateways
Wählen Sie die Option Alle Ressourcen und dann myAGPublicIPAddress aus.
Geben Sie in der Adressleiste Ihres Browsers https://<IP-Adresse Ihres Anwendungsgateways> ein.
Wenn Sie ein selbstsigniertes Zertifikat verwendet haben und die Sicherheitswarnung akzeptieren möchten, klicken Sie auf Details (bzw. in Chrome auf Erweitert), und anschließend auf „Webseite trotzdem laden“:
Die gesicherte IIS-Website wird dann wie im folgenden Beispiel angezeigt:
Bereinigen von Ressourcen
Löschen Sie die Ressourcengruppe und alle dazugehörigen Ressourcen, wenn Sie sie nicht mehr benötigen. Wählen Sie dazu die Ressourcengruppe und dann Ressourcengruppe löschen aus.
Nächste Schritte
In diesem Tutorial führen Sie Folgendes durch:
- Erstellen eines selbstsignierten Zertifikats
- Erstellen eines Anwendungsgateways mit dem Zertifikat
Weitere Informationen zu TLS-Unterstützung von Application Gateway finden Sie unter End-to-End-TLS mit Application Gateway und Application Gateway TLS-Richtlinie.
Um zu erfahren, wie Sie ein Application Gateway über das Azure-Portal erstellen und so konfigurieren, dass es mehrere Websites hosten kann, fahren Sie mit dem nächsten Tutorial fort.