Skapa certifikat för att tillåta serverdelen i Azure Application Gateway

  • Artikel

För att göra slutpunkt-till-slutpunkt-TLS kräver Application Gateway att serverdelsinstanserna tillåts genom uppladdning av autentisering/betrodda rotcertifikat. För V1 SKU krävs autentiseringscertifikat, men för de betrodda V2 SKU-rotcertifikaten krävs för att tillåta certifikaten.

I den här artikeln kan du se hur du:

  • Exportera autentiseringscertifikat från ett serverdelscertifikat (för v1 SKU)
  • Exportera betrott rotcertifikat från ett serverdelscertifikat (för v2 SKU)

Förutsättningar

Ett befintligt serverdelscertifikat krävs för att generera de autentiseringscertifikat eller betrodda rotcertifikat som krävs för att tillåta serverdelsinstanser med Application Gateway. Serverdelscertifikatet kan vara detsamma som TLS/SSL-certifikatet eller annorlunda för ökad säkerhet. Application Gateway tillhandahåller ingen mekanism för att skapa eller köpa ett TLS/SSL-certifikat. I testsyfte kan du skapa ett självsignerat certifikat, men du bör inte använda det för produktionsarbetsbelastningar.

Exportera autentiseringscertifikat (för v1 SKU)

Ett autentiseringscertifikat krävs för att tillåta serverdelsinstanser i Application Gateway v1 SKU. Autentiseringscertifikatet är den offentliga nyckeln för serverdelsservercertifikat i Base-64-kodade X.509(. CER-format. I det här exemplet använder du ett TLS/SSL-certifikat för serverdelscertifikatet och exporterar dess offentliga nyckel som ska användas som autentiseringscertifiering. I det här exemplet ska du också använda verktyget Windows Certificate Manager för att exportera de certifikat som krävs. Du kan välja att använda andra verktyg som är praktiska.

Från ditt TLS/SSL-certifikat exporterar du den offentliga nyckelns .cer-fil (inte den privata nyckeln). Följande steg hjälper dig att exportera cer-filen i Base-64-kodad X.509(. CER)-format för certifikatet:

  1. Om du vill hämta en .cer-fil från certifikatet öppnar du Hantera användarcertifikat. Leta upp certifikatet, vanligtvis i "Certifikat – aktuell användare\personligt\certifikat", och högerklicka. Klicka på Alla aktiviteter och klicka sedan på Exportera. Guiden Exportera certifikat öppnas. Om du vill öppna Certifikathanteraren i det aktuella användaromfånget med hjälp av PowerShell skriver du certmgr i konsolfönstret.

    Kommentar

    Om du inte hittar certifikatet under Aktuell användare\Personlig\Certifikat kan du av misstag ha öppnat "Certifikat – lokal dator" i stället för "Certifikat – Aktuell användare").

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. Klicka på Nästa i guiden.

    Export certificate

  3. Välj Nej, exportera inte den privata nyckeln och klicka sedan på Nästa.

    Do not export the private key

  4. På sidan Filformat för export väljer du Base 64-kodad X.509 (. CER). och klickar sedan på Nästa.

    Base-64 encoded

  5. För Fil att exportera bläddrar du till den plats där du vill exportera certifikatet. För Filnamn anger du ett namn för certifikatfilen. Klicka sedan på Nästa.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. Klicka på Slutför för att exportera certifikatet.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. Certifikatet har exporterats.

    Screenshot shows the Certificate Export Wizard with a success message.

    Det exporterade certifikatet ser ut ungefär så här:

    Screenshot shows a certificate symbol.

  8. Om du öppnar det exporterade certifikatet med hjälp av Anteckningar visas något som liknar det här exemplet. Avsnittet i blått innehåller den information som laddas upp till programgatewayen. Om du öppnar certifikatet med Anteckningar och det inte ser ut ungefär så här innebär det vanligtvis att du inte exporterade det med base-64-kodade X.509(. CER-format. Om du vill använda en annan textredigerare kan du dessutom förstå att vissa redigerare kan introducera oavsiktlig formatering i bakgrunden. Detta kan skapa problem när texten laddas upp från det här certifikatet till Azure.

    Open with Notepad

Exportera betrott rotcertifikat (för v2 SKU)

Betrott rotcertifikat krävs för att tillåta serverdelsinstanser i Application Gateway v2 SKU. Rotcertifikatet är en Base-64-kodad X.509(. CER) formaterar rotcertifikat från serverdelsservercertifikaten. I det här exemplet använder vi ett TLS/SSL-certifikat för serverdelscertifikatet, exporterar dess offentliga nyckel och exporterar sedan rotcertifikatet för den betrodda certifikatutfärdaren från den offentliga nyckeln i base64-kodat format för att hämta det betrodda rotcertifikatet. Mellanliggande certifikat ska paketeras med servercertifikat och installeras på serverdelsservern.

Följande steg hjälper dig att exportera cer-filen för certifikatet:

  1. Använd stegen 1–8 som nämns i föregående avsnitt Exportera autentiseringscertifikat (för v1 SKU) för att exportera den offentliga nyckeln från serverdelscertifikatet.

  2. När den offentliga nyckeln har exporterats öppnar du filen.

    Open authorization certificate

    about certificate

  3. Gå till vyn Certifieringssökväg för att visa certifikatutfärdare.

    cert details

  4. Välj rotcertifikatet och klicka på Visa certifikat.

    cert path

    Du bör se rotcertifikatinformationen.

    cert info

  5. Flytta till vyn Information och klicka på Kopiera till fil...

    copy root cert

  6. Nu har du extraherat information om rotcertifikatet från serverdelscertifikatet. Guiden Exportera certifikat visas. Använd nu steg 2–9 som nämns i avsnittet Exportera autentiseringscertifikat från ett serverdelscertifikat (för v1 SKU) ovan för att exportera det betrodda rotcertifikatet i Base-64-kodade X.509(. CER-format.

Nästa steg

Nu har du autentiseringscertifikatet/det betrodda rotcertifikatet i Base-64-kodad X.509(. CER-format. Du kan lägga till detta i programgatewayen för att tillåta serverdelsservrarna för TLS-kryptering från slutpunkt till slutpunkt. Se Konfigurera TLS från slutpunkt till slutpunkt med hjälp av Application Gateway med PowerShell.