Configurar a autenticação mútua no Gateway de Aplicativo por meio do portal

  • Artigo

Este artigo descreve como usar o portal do Azure para configurar a autenticação mútua em seu gateway de aplicativo. Autenticação mútua significa que um gateway de aplicativo autentica o cliente que envia a solicitação usando o certificado do cliente que você carrega no gateway de aplicativo.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Antes de começar

Para configurar a autenticação mútua com um gateway de aplicativo, você precisa de um certificado de cliente para carregar em um gateway. O certificado do cliente será usado para validar o certificado que o cliente apresentará a um gateway de aplicativo. Para fins de teste, você pode usar um certificado autoassinado. No entanto, isto não é recomendável para cargas de trabalho de produção, porque elas são mais difíceis de gerenciar e não são completamente seguras.

Para mais informações, especialmente sobre o tipo de certificados de cliente que você pode carregar, consulte visão geral da autenticação mútua com o gateway de aplicativo.

Criar um Gateway de Aplicativo

Primeiro, crie um novo gateway de aplicativo da mesma maneira que você faria por meio do portal – não há etapas adicionais necessárias na criação para habilitar a autenticação mútua. Para obter mais informações sobre como criar um Gateway de Aplicativo no portal, confira o nosso tutorial de início rápido do portal.

Configurar a autenticação mútua TLS

Para configurar um gateway de aplicativo existente com a autenticação mútua, primeiro, acesse a guia Configurações de SSL no portal e crie um perfil de SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação de Cliente e Política SSL. A guia Autenticação de Cliente é onde você carregará seus certificados de cliente. A guia Política SSL diz respeito a configurar uma política SSL específica do ouvinte - para mais informações, confira Configurando uma política SSL específica do ouvinte.

Importante

Verifique se você carregou toda a cadeia de certificados de autoridade de certificação do cliente em um arquivo e em apenas uma cadeia por arquivo.

  1. Pesquise Gateway de Aplicativo no portal, selecione Gateways de apliativoe clique em seu Gateway de Aplicativo existente.

  2. Selecione Configurações de SSL no menu do lado esquerdo.

  3. Clique no sinal de adição próximo a perfis SSL na parte superior para criar um novo perfil SSL.

  4. Insira um nome em nome do perfil SSL. Neste exemplo, chamamos nosso perfil SSL de applicationGatewaySSLProfile.

  5. Mantenha-se na guia Autenticação do Cliente. Carregue o certificado PEM que você pretende usar para autenticação mútua entre o cliente e o Gateway de Aplicativo usando o botão Carregar um novo certificado.

    Para mais informações sobre como extrair cadeias de certificados de AC de cliente confiáveis para carregar aqui, consulte como extrair cadeias de certificados de AC de cliente confiáveis.

    Observação

    Se esse não for seu primeiro perfil SSL e você tiver carregado outros certificados de cliente no Gateway de Aplicativo, você pode optar por reutilizar um certificado existente no gateway por meio do menu suspenso.

  6. Marque a caixa Verificar o DN do emissor certificado do cliente DN somente se você quiser que o Gateway de Aplicativo verifique o Nome Diferenciado do emissor imediato do certificado do cliente.

  7. Considere adicionar uma política específica de ouvinte. Consulte instruções sobre como configurar políticas SSL específicas de ouvinte.

  8. Selecione Adicionar para salvar.

    Add client authentication to SSL profile

Associar o perfil SSL a um ouvinte

Agora que criamos um perfil SSL com autenticação mútua configurada, precisamos associar o perfil SSL ao ouvinte para concluir a configuração de autenticação mútua.

  1. Navegue até o Gateway de Aplicativo. Se você concluiu as etapas acima, não precisará fazer nada aqui.

  2. SelecioneOuvintesdo menu do lado esquerdo.

  3. Clique em Adicionar ouvinte caso você ainda não tenha um ouvinte HTTPS configurado. Se você já tiver um ouvinte HTTPS, clique nele diretamente da lista.

  4. Preencha o nome do ouvinte, IP de front-end, porta, protocoloe outras configurações de HTTPS para atender às suas necessidades.

  5. Marque a caixa de seleção Habilitar perfil SSL para que você possa selecionar o perfil SSL a ser associado ao ouvinte.

  6. Selecione o perfil SSL que você acabou de criar a partir da lista suspensa. Neste exemplo, escolhemos o perfil SSL que criamos nas etapas anteriores: applicationGatewaySSLProfile.

  7. Continue configurando o restante do ouvinte para se ajustar aos seus requisitos.

  8. Clique em Adicionar para salvar o novo ouvinte com o perfil SSL associado a ele.

    Associate SSL profile to new listener

Renovar certificados de AC de cliente expirados

Caso o certificado de autoridade de certificação do cliente tenha expirado, você pode atualizar o certificado em seu gateway por meio das seguintes etapas:

  1. Navegue até o gateway de aplicativo e acesse a guia Configurações de SSL no menu à esquerda.

  2. Selecione os perfis SSL existentes com o certificado de cliente expirado.

  3. Selecione carregar um novo certificado na guia autenticação de cliente e carregue o novo certificado de cliente.

  4. Selecione o ícone Lixeira ao lado do certificado expirado. Isso removerá a associação do certificado do perfil SSL.

  5. Repita as etapas 2 a 4 acima com qualquer outro perfil SSL que estava usando o mesmo certificado de cliente expirado. Você poderá escolher o novo certificado carregado na etapa 3 no menu suspenso em outros perfis SSL.

Próximas etapas