Настройка взаимной проверки подлинности с помощью Шлюз приложений через портал

  • Статья

В этой статье описывается, как использовать портал Azure для настройки взаимной проверки подлинности в Шлюзе приложений. Взаимная проверка подлинности означает, что Шлюз приложений выполняет проверку подлинности клиента, отправляющего запрос, используя сертификат клиента, отправленный в Шлюз приложений.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Подготовка к работе

Чтобы настроить взаимную проверку подлинности в Шлюзе приложений, на шлюз следует отправить сертификат клиента. Сертификат клиента будет использоваться для проверки сертификата, который клиент будет предоставлять Шлюзу приложений. В целях тестирования можно создать самозаверяющий сертификат. Однако это не рекомендуется для производственных рабочих нагрузок, поскольку ими сложнее управлять и они не полностью защищены.

Дополнительные сведения см. в разделе Обзор взаимной проверки подлинности в Шлюзе приложений.

Создание Шлюза приложений.

Сначала создайте новый Шлюз приложений в обычном порядке на портале. Для включения взаимной проверки подлинности не требуется выполнять какие-либо дополнительные действия. Дополнительные сведения о создании Шлюза приложений на портале см. в кратком руководстве по использованию портала.

Настройка взаимной проверки подлинности

Чтобы настроить существующую Шлюз приложений с взаимной проверкой подлинности, сначала перейдите на вкладку параметров SSL на портале и создайте новый профиль SSL. При создании профиля SSL вы увидите две вкладки: Проверка подлинности клиента и Политика SSL. Сертификаты клиентов загружаются на вкладке Проверка подлинности клиента. Вкладка Политика SSL предназначена для настройки политики SSL для конкретного прослушивателя. Дополнительные сведения см. в разделе Настройка политики SSL для конкретного прослушивателя.

Важно!

Обязательно отправьте всю цепочку сертификатов ЦС клиента в одном файле, а также только одну цепочку для каждого файла.

  1. На портале найдите пункт Шлюз приложений, выберите Шлюзы приложений и щелкните существующий Шлюз приложений.

  2. Выберите параметры SSL в меню слева.

  3. Щелкните значок плюса рядом с пунктом Профили SSL в верхней части, чтобы создать новый профиль SSL.

  4. Введите имя в поле Имя профиля SSL. В этом примере мы вызовем наш профиль SSL applicationGatewaySSLProfile.

  5. Оставайтесь на вкладке Проверка подлинности клиента. Отправьте сертификат PEM, который вы планируете использовать для взаимной проверки подлинности между клиентом и Шлюзом приложений, с помощью кнопки Отправить новый сертификат.

    Дополнительные сведения о том, как извлечь цепочки сертификатов ЦС доверенного клиента для отправки здесь, см. в статье, посвященной извлечению цепочки сертификатов ЦС доверенного клиента.

    Примечание.

    Если это не первый профиль SSL и вы уже отправили другие клиентские сертификаты в Шлюз приложений, можно выбрать повторное использование существующего сертификата в шлюзе с помощью раскрывающегося меню.

  6. Флажок Проверка различающегося имени издателя сертификата клиента следует устанавливать только в том случае, если необходимо, чтобы Шлюз приложений проверял различающееся имя непосредственного издателя сертификата клиента.

  7. Рассмотрите возможность добавления политики для конкретного прослушивателя. См. инструкции по настройке политик SSL для конкретного прослушивателя.

  8. Нажмите кнопку Добавить, чтобы сохранить изменения.

    Add client authentication to SSL profile

Связывание профиля SSL с прослушивателем

Теперь, когда мы создали профиль SSL с настроенной взаимной проверкой подлинности, необходимо связать профиль SSL с прослушивателем для завершения настройки взаимной проверки подлинности.

  1. Перейдите к своему существующему Шлюзу приложений. Если вы только что выполнили описанные выше действия, вам не нужно ничего делать.

  2. В меню слева выберите пункт Прослушиватели.

  3. Щелкните Добавить прослушиватель, если у вас еще нет настроенного прослушивателя HTTPS. Если у вас уже есть прослушиватель HTTPS, щелкните его в списке.

  4. Заполните поля Имя прослушивателя, Интерфейсный IP-адрес, Порт, Протокол и укажите другие настройки в разделе Параметры HTTPS в соответствии с требованиями.

  5. Установите флажок Включить профиль SSL, чтобы можно было выбрать профиль SSL для связывания с прослушивателем.

  6. В раскрывающемся списке выберите профиль SSL, который вы только что создали. В этом примере мы выбираем профиль SSL, созданный на основе предыдущих шагов: applicationGatewaySSLProfile.

  7. Продолжите настройку оставшейся части прослушивателя в соответствии с вашими требованиями.

  8. Нажмите кнопку Добавить, чтобы сохранить новый прослушиватель с соответствующим профилем SSL.

    Associate SSL profile to new listener

Продление срока действия сертификатов ЦС клиента

В случае истечения срока действия сертификата ЦС клиента можно обновить сертификат в шлюзе, выполнив следующие действия.

  1. Перейдите к Шлюз приложений и перейдите на вкладку параметров SSL в меню слева.

  2. Выберите существующие профили SSL с истекшим сертификатом клиента.

  3. Выберите Отправить новый сертификат на вкладке Проверка подлинности клиента и отправьте новый сертификат клиента.

  4. Выберите значок корзины рядом с истекшим сертификатом. Это приведет к удалению связи этого сертификата из профиля SSL.

  5. Повторите шаги 2–4 выше с любым другим профилем SSL, в котором использовался тот же сертификат клиента с истекшим сроком действия. Вы сможете выбрать новый сертификат, отправленный на шаге 3, из раскрывающегося меню в других профилях SSL.

Следующие шаги