Настройте сквозной TLS с использованием шлюза приложений через портал

В этой статье описывается, как использовать портал Azure для настройки сквозного шифрования протокола TLS, ранее известного как шифрование SSL через SKU шлюза приложений Azure версии 1.

Примечание.

SKU версии 2 для шлюза приложений требует доверенных корневых сертификатов для настройки сквозной конфигурации.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Перед тем как начать

Чтобы настроить сквозной протокол TLS с помощью шлюза приложений, вам потребуется сертификат для шлюза. Сертификаты также требуются для внутренних серверов. Сертификат шлюза используется для получения симметричного ключа в соответствии со спецификацией протокола TLS. Затем симметричный ключ используется для шифрования и расшифровки трафика, отправленного шлюзу.

Для сквозного шифрования TLS правые серверные серверы должны быть разрешены в шлюзе приложений. Чтобы разрешить этот доступ, отправьте общедоступный сертификат внутренних серверов, также известный как сертификаты проверки подлинности (версии 1) или доверенные корневые сертификаты (версии 2) в шлюз приложений. Добавление сертификата гарантирует, что шлюз приложения взаимодействует только с известными экземплярами серверной части. Эта конфигурация обеспечивает дополнительную защиту сквозной коммуникации.

Это важно

Если вы получаете сообщение об ошибке для внутреннего сертификата сервера, убедитесь, что внешний сертификат common name (CN) соответствует внутреннему сертификату CN. Дополнительные сведения см. в разделе о несоответствии доверенного корневого сертификата

Дополнительные сведения см. в разделе "Обзор завершения TLS и сквозного TLS с помощью шлюза приложений".

Создайте новый шлюз приложений с использованием сквозного TLS.

Чтобы создать шлюз приложений с сквозным шифрованием TLS, необходимо сначала включить завершение TLS при создании нового шлюза приложений. Это действие обеспечивает шифрование TLS для обмена данными между клиентом и шлюзом приложений. Затем необходимо поместить в список надежных получателей сертификаты для внутренних серверов в параметрах HTTP. Эта конфигурация обеспечивает шифрование TLS для обмена данными между шлюзом приложений и серверными серверами. Это позволяет выполнить сквозное шифрование TLS.

Включение завершения TLS при создании нового шлюза приложений

Дополнительные сведения см. в статье "Включение завершения TLS" при создании нового шлюза приложений.

Добавление сертификатов проверки подлинности и корневых сертификатов внутренних серверов

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите параметры HTTP в меню слева. Azure автоматически создал параметр HTTP по умолчанию appGatewayBackendHttpSettings при создании шлюза приложений.

  3. Выберите appGatewayBackendHttpSettings.

  4. В разделе "Протокол" выберите HTTPS. Появится панель сертификатов серверной аутентификации или доверенных корневых сертификатов.

  5. Выберите Создать новое.

  6. В поле "Имя" введите подходящее имя.

  7. Выберите файл сертификата в поле "Отправка СЕРТИФИКАТА CER ".

    Для шлюзов приложений Standard и WAF (версии 1) необходимо отправить открытый ключ сертификата внутреннего сервера в .cer формате.

    Добавление сертификата

    Для шлюзов приложений Standard_v2 и WAF_v2 необходимо отправить корневой сертификат сертификата внутреннего сервера в .cer формате. Если серверный сертификат выдан хорошо известным центром сертификации (ЦС), можно установить флажок "Использовать известный сертификат ЦС ", а затем не нужно отправлять сертификат.

    Добавление доверенного корневого сертификата

    Корневой сертификат

  8. Выберите Сохранить.

Включение сквозного TLS для существующего шлюза приложений

Чтобы настроить существующий шлюз приложений с сквозным шифрованием TLS, необходимо сначала включить завершение TLS в прослушивателе. Это действие обеспечивает шифрование TLS для обмена данными между клиентом и шлюзом приложений. Затем поместите эти сертификаты для внутренних серверов в параметры HTTP в списке надежных получателей. Эта конфигурация обеспечивает шифрование TLS для обмена данными между шлюзом приложений и серверными серверами. Это позволяет выполнить сквозное шифрование TLS.

Вам потребуется использовать прослушиватель с протоколом HTTPS и сертификатом для включения окончания подключения TLS. Вы можете использовать существующий прослушиватель, соответствующий этим условиям, или создать новый прослушиватель. Если выбрать бывший вариант, можно игнорировать следующий раздел "Включить завершение TLS в существующем шлюзе приложений" и перейти непосредственно к разделу "Добавление корневых сертификатов проверки подлинности и доверенных корневых сертификатов для внутренних серверов".

Если выбрать последний вариант, выполните действия, описанные в следующей процедуре.

Включение завершения TLS в существующем шлюзе приложений

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите прослушиватели в меню слева.

  3. Выберите прослушиватель "Базовый " или "Многосайтовый " в зависимости от ваших требований.

  4. В разделе "Протокол" выберите HTTPS. Появится панель для сертификата.

  5. Отправьте сертификат PFX, который вы планируете использовать для завершения TLS между клиентом и шлюзом приложений.

    Примечание.

    Для тестирования можно использовать самозаверяющий сертификат. Однако это не рекомендуется для производственных нагрузок, так как ими сложнее управлять и они не обеспечивают полной безопасности. Дополнительные сведения см. в статье о создании самозаверяющего сертификата.

  6. Добавьте другие необходимые параметры для прослушивателя в зависимости от ваших требований.

  7. Нажмите кнопку ОК, чтобы сохранить введенные данные.

Добавление корневых сертификатов аутентификации и доверенных корневых сертификатов серверов бэкенда

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите параметры HTTP в меню слева. Вы можете либо добавить сертификаты в существующую HTTP-настройку серверной части в список безопасных получателей, либо создать новую HTTP-настройку. (На следующем шаге сертификат для параметра HTTP по умолчанию appGatewayBackendHttpSettings добавляется в список надежных получателей.)

  3. Выберите appGatewayBackendHttpSettings.

  4. В разделе "Протокол" выберите HTTPS. Появится панель сертификатов серверной аутентификации или доверенных корневых сертификатов.

  5. Выберите Создать новое.

  6. В поле "Имя" введите подходящее имя.

  7. Выберите файл сертификата в поле "Отправка СЕРТИФИКАТА CER ".

    Для шлюзов приложений Standard и WAF (версии 1) необходимо отправить открытый ключ сертификата внутреннего сервера в .cer формате.

    Добавление сертификата

    Для шлюзов приложений Standard_v2 и WAF_v2 необходимо отправить корневой сертификат сертификата внутреннего сервера в .cer формате. Если внутренний сертификат выдан хорошо известным ЦС, установите флажок "Использовать известный сертификат ЦС ", а затем не нужно отправлять сертификат.

    Добавление доверенного корневого сертификата

  8. Выберите Сохранить.

Дальнейшие действия