Configurar a autenticação mútua com o Gateway de Aplicativo por meio do PowerShell

Artigo
05/11/2023

Este artigo descreve como usar o PowerShell para configurar a autenticação mútua em seu gateway de aplicativo. Autenticação mútua significa que um gateway de aplicativo autentica o cliente que envia a solicitação usando o certificado do cliente que você carrega no gateway de aplicativo.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, confira Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Este artigo requer o módulo Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az para encontrar a versão. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Login-AzAccount para criar uma conexão com o Azure.

Antes de começar

Para configurar a autenticação mútua com um gateway de aplicativo, você precisa de um certificado de cliente para carregar em um gateway. O certificado do cliente será usado para validar o certificado que o cliente apresentará a um gateway de aplicativo. Para fins de teste, você pode usar um certificado autoassinado. No entanto, isto não é recomendável para cargas de trabalho de produção, porque elas são mais difíceis de gerenciar e não são completamente seguras.

Para mais informações, especialmente sobre o tipo de certificados de cliente que você pode carregar, consulte visão geral da autenticação mútua com o gateway de aplicativo.

Criar um grupo de recursos

Primeiro, crie um novo grupo de recursos em sua assinatura.

$resourceGroup = New-AzResourceGroup -Name $rgname -Location $location -Tags @{ testtag = "APPGw tag"}

Criar uma rede virtual

Implante uma rede virtual para o gateway de aplicativo a ser implantado no.

$gwSubnet = New-AzVirtualNetworkSubnetConfig -Name $gwSubnetName -AddressPrefix 10.0.0.0/24
$vnet = New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgname -Location $location -AddressPrefix 10.0.0.0/16 -Subnet $gwSubnet
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgname
$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name $gwSubnetName -VirtualNetwork $vnet

Criar um IP público

Crie um IP público para usar com o seu gateway de aplicativo.

$publicip = New-AzPublicIpAddress -ResourceGroupName $rgname -name $publicIpName -location $location -AllocationMethod Static -sku Standard

Criar a configuração de IP do gateway de aplicativo

Criar as configurações de IP e porta de front-end.

$gipconfig = New-AzApplicationGatewayIPConfiguration -Name $gipconfigname -Subnet $gwSubnet
$fipconfig = New-AzApplicationGatewayFrontendIPConfig -Name $fipconfigName -PublicIPAddress $publicip
$port = New-AzApplicationGatewayFrontendPort -Name $frontendPortName  -Port 443

Configurar o SSL de front-end

Configure os certificados SSL para o seu gateway de aplicativo.

$password = ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force
$sslCertPath = $basedir + "/ScenarioTests/Data/ApplicationGatewaySslCert1.pfx"
$sslCert = New-AzApplicationGatewaySslCertificate -Name $sslCertName -CertificateFile $sslCertPath -Password $password

Configurar a autenticação do cliente

Configure a autenticação de cliente no seu gateway de aplicativo. Para mais informações sobre como extrair cadeias de certificados de AC de cliente confiáveis para usar aqui, consulte como extrair cadeias de certificados de AC de cliente confiáveis.

Importante

Verifique se você carregou toda a cadeia de certificados de autoridade de certificação do cliente em um arquivo e em apenas uma cadeia por arquivo.

Observação

É recomendável usar o TLS 1.2 com autenticação mútua, pois o TLS 1.2 será obrigatório no futuro.

$clientCertFilePath = $basedir + "/ScenarioTests/Data/TrustedClientCertificate.cer"
$trustedClient01 = New-AzApplicationGatewayTrustedClientCertificate -Name $trustedClientCert01Name -CertificateFile $clientCertFilePath
$sslPolicy = New-AzApplicationGatewaySslPolicy -PolicyType Predefined -PolicyName "AppGwSslPolicy20170401S"
$clientAuthConfig = New-AzApplicationGatewayClientAuthConfiguration -VerifyClientCertIssuerDN
$sslProfile01 = New-AzApplicationGatewaySslProfile -Name $sslProfile01Name -SslPolicy $sslPolicy -ClientAuthConfiguration $clientAuthConfig -TrustedClientCertificates $trustedClient01
$listener = New-AzApplicationGatewayHttpListener -Name $listenerName -Protocol Https -SslCertificate $sslCert -FrontendIPConfiguration $fipconfig -FrontendPort $port -SslProfile $sslProfile01

Configurar o pool de back-end e as configurações

Configure o pool de back-end e as configurações para o seu gateway de aplicativo. Opcionalmente, configure o certificado raiz confiável de back-end para a criptografia SSL de ponta a ponta.

$certFilePath = $basedir + "/ScenarioTests/Data/ApplicationGatewayAuthCert.cer"
$trustedRoot = New-AzApplicationGatewayTrustedRootCertificate -Name $trustedRootCertName -CertificateFile $certFilePath
$pool = New-AzApplicationGatewayBackendAddressPool -Name $poolName -BackendIPAddresses www.microsoft.com, www.bing.com
$poolSetting = New-AzApplicationGatewayBackendHttpSettings -Name $poolSettingName -Port 443 -Protocol Https -CookieBasedAffinity Enabled -PickHostNameFromBackendAddress -TrustedRootCertificate $trustedRoot

Configurar a regra

Configure uma regra no seu gateway de aplicativo.

$rule = New-AzApplicationGatewayRequestRoutingRule -Name $ruleName -RuleType basic -BackendHttpSettings $poolSetting -HttpListener $listener -BackendAddressPool $pool

Configurar a política SSL padrão para ouvintes futuros

Você configurou uma política SSL específica do ouvinte ao configurar a autenticação mútua. Nesta etapa, você pode, opcionalmente, definir a política SSL padrão para ouvintes futuros que você criar.

$sslPolicyGlobal = New-AzApplicationGatewaySslPolicy -PolicyType Predefined -PolicyName "AppGwSslPolicy20170401"

Criar o Application Gateway

Usando tudo o que criamos acima, implante o gateway de aplicativo.

$sku = New-AzApplicationGatewaySku -Name Standard_v2 -Tier Standard_v2
$appgw = New-AzApplicationGateway -Name $appgwName -ResourceGroupName $rgname -Zone 1,2 -Location $location -BackendAddressPools $pool -BackendHttpSettingsCollection $poolSetting -FrontendIpConfigurations $fipconfig -GatewayIpConfigurations $gipconfig -FrontendPorts $port -HttpListeners $listener -RequestRoutingRules $rule -Sku $sku -SslPolicy $sslPolicyGlobal -TrustedRootCertificate $trustedRoot -AutoscaleConfiguration $autoscaleConfig -TrustedClientCertificates $trustedClient01 -SslProfiles $sslProfile01 -SslCertificates $sslCert

Limpar os recursos

Quando não forem mais necessários, remova o grupo de recursos, o gateway do aplicativo e todos os recursos relacionados usando Remove-AzResourceGroup.

Remove-AzResourceGroup -Name $rgname

Renovar certificados de AC de cliente expirados

Caso o certificado de autoridade de certificação do cliente tenha expirado, você pode atualizar o certificado em seu gateway por meio das seguintes etapas:

Entrar no Azure

Connect-AzAccount
Select-AzSubscription -Subscription "<sub name>"

Faça a configuração do gateway de aplicativo

$gateway = Get-AzApplicationGateway -Name "<gateway-name>" -ResourceGroupName "<resource-group-name>"

Remover o certificado de cliente confiável do gateway

Remove-AzApplicationGatewayTrustedClientCertificate -Name "<name-of-client-certificate>" -ApplicationGateway $gateway

Adicionar o novo certificado no gateway

Add-AzApplicationGatewayTrustedClientCertificate -ApplicationGateway $gateway -Name "<name-of-new-cert>" -CertificateFile "<path-to-certificate-file>"

Atualizar o gateway com o novo certificado

Set-AzApplicationGateway -ApplicationGateway $gateway

Próximas etapas

Gerenciar o tráfego da web com um gateway de aplicativo usando a CLI do Azure

Compartilhar via