Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для выполнения концового шифрования TLS Шлюз Приложений требует, чтобы серверные экземпляры были разрешены через загрузку подлинных/доверенных корневых сертификатов. Для SKU версии 1 требуются сертификаты проверки подлинности, тогда как для SKU версии 2 необходимы доверенные корневые сертификаты для разрешения использования сертификатов.
В этой статье вы узнаете, как:
- Экспорт сертификата проверки подлинности из внутреннего сертификата (для SKU версии 1)
- Экспорт доверенного корневого сертификата из внутреннего сертификата (для SKU версии 2)
Предпосылки
Существующий серверный сертификат требуется для создания сертификатов проверки подлинности или доверенных корневых сертификатов, необходимых для разрешения серверных экземпляров, работающих с помощью шлюза приложений Application Gateway. Внутренний сертификат может совпадать с СЕРТИФИКАТом TLS/SSL или другим для добавленной безопасности. Шлюз приложений не предоставляет никакого механизма для создания или приобретения TLS/SSL-сертификата. В целях тестирования можно создать самозаверяющий сертификат, но его не следует использовать для рабочих нагрузок.
Экспорт сертификата проверки подлинности (для SKU версии 1)
Для разрешения бэкэнд-экземпляров в версии SKU v1 шлюза приложений требуется сертификат аутентификации. Сертификат проверки подлинности — это открытый ключ сертификатов серверной части в кодировке Base-64 формата X.509 (.CER). В этом примере вы будете использовать TLS/SSL-сертификат для внутреннего сертификата и экспортировать его открытый ключ, который будет использоваться в качестве сертификации проверки подлинности. Кроме того, в этом примере вы будете использовать средство диспетчера сертификатов Windows для экспорта необходимых сертификатов. Вы можете использовать любой другой инструмент, удобный.
Экспортируйте .cer-файл открытого ключа из TLS/SSL-сертификата (а не закрытого ключа). Следующие шаги помогут вам экспортировать файл .cer в кодировке Base-64 в формате X.509(.CER) для вашего сертификата.
Чтобы получить файл .cer из сертификата, откройте окно "Управление сертификатами пользователей". Найдите сертификат, как правило, в разделе "Сертификаты — текущий пользователь\Личный\Сертификаты" и щелкните правой кнопкой мыши. Щелкните "Все задачи" и нажмите кнопку "Экспорт". Откроется Мастер экспорта сертификатов. Если вы хотите открыть Диспетчер сертификатов в текущей области пользователя с помощью PowerShell, в окне консоли введите certmgr .
Примечание.
Если сертификат не удается найти в разделе Current User\Personal\Certificates, возможно, вы случайно открыли "Сертификаты — локальный компьютер", а не "Сертификаты — текущий пользователь").
В мастере нажмите кнопку "Далее".
Нажмите кнопку "Нет", не экспортируйте закрытый ключ и нажмите кнопку "Далее".
На странице "Формат файла экспорта" выберите Base-64 с кодировкой X.509 (.CER), а затем нажмите кнопку Далее.
Для Экспортируемого файлаПерейдите в расположение, куда вы хотите экспортировать сертификат. В поле Имя файлавведите имя для файла сертификата. Затем нажмите кнопку Далее.
Нажмите кнопку Готово , чтобы экспортировать сертификат.
Сертификат успешно экспортирован.
Экспортируемый сертификат выглядит примерно так:
При открытии экспортированного сертификата с помощью Блокнота вы увидите примерно то, что показано в этом примере. Раздел в синем цвете содержит сведения, передаваемые в шлюз приложений. Если вы открываете сертификат в блокноте, и он не похож на это, обычно это означает, что вы не экспортировали его в формате X.509 с кодировкой Base-64 (.CER). Кроме того, если вы хотите использовать другой текстовый редактор, понять, что некоторые редакторы могут вводить непреднамеренное форматирование в фоновом режиме. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.
Экспорт доверенного корневого сертификата (для SKU версии 2)
Доверенный корневой сертификат требуется для разрешения экземпляров серверной части в шлюзе приложений SKU версии 2. Корневой сертификат является кодировкой Base-64 X.509(. CER) отформатируйте корневой сертификат из сертификатов внутреннего сервера. В этом примере мы будем использовать TLS/SSL-сертификат для внутреннего сертификата, экспортировать его открытый ключ и экспортировать корневой сертификат доверенного ЦС из открытого ключа в формате base64, чтобы получить доверенный корневой сертификат. Промежуточные сертификаты должны быть упаковлены с сертификатом сервера и установлены на серверном сервере.
Следующие шаги помогут экспортировать файл .cer для сертификата:
Выполните шаги 1 – 8, упомянутые в предыдущем разделе Экспорт сертификата проверки подлинности (для SKU версии 1), чтобы экспортировать открытый ключ из внутреннего сертификата.
После экспорта открытого ключа откройте файл.
Перейдите в представление "Путь сертификации", чтобы просмотреть центр сертификации.
Выберите корневой сертификат и щелкните "Просмотреть сертификат".
Вы увидите сведения о корневом сертификате.
Перейдите в представление сведений и нажмите кнопку "Копировать в файл" ...
На этом этапе вы извлекли сведения о корневом сертификате из внутреннего сертификата. Вы увидите мастер экспорта сертификатов. Теперь выполните шаги 2-9, упомянутые в разделе Экспорт сертификата проверки подлинности из внутреннего сертификата (для SKU версии 1) выше, чтобы экспортировать доверенный корневой сертификат в кодировке Base-64 в формате X.509(.CER).
Дальнейшие действия
Теперь у вас есть сертификат аутентификации или доверенный корневой сертификат в кодировке Base-64 формата X.509 (.CER). Это можно добавить в шлюз приложений, чтобы серверные серверы могли выполнять сквозное шифрование TLS. См. статью "Настройка сквозного TLS с использованием шлюза приложений и PowerShell".