Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В какой-то момент необходимо обновить сертификаты, если вы настроили шлюз приложений для шифрования TLS/SSL.
Существует два расположения, где могут существовать сертификаты: сертификаты, хранящиеся в Azure Key Vault, или сертификаты, отправленные в шлюз приложений.
Сертификаты в Azure Key Vault
Если шлюз приложений настроен на использование сертификатов Key Vault, его экземпляры извлекают сертификат из Key Vault и устанавливают их локально для завершения TLS. Экземпляры опрашивают Key Vault с четырёхчасовыми интервалами, чтобы получить обновленную версию сертификата, если она существует. При обнаружении обновленного сертификата tls/SSL-сертификат, связанный с прослушивателем HTTPS, автоматически поворачивается.
Подсказка
Любые изменения в шлюзе приложений вызовут проверку в Key Vault, чтобы узнать, доступны ли новые версии сертификатов. Это включает в себя, но не ограничивается, изменения конфигураций ВНЕШНИх IP-адресов, прослушивателей, правил, внутренних пулов, тегов ресурсов и т. д. При обнаружении обновленного сертификата будет немедленно представлен новый сертификат.
Шлюз приложений использует идентификатор секрета в Key Vault для ссылки на сертификаты. Для Azure PowerShell, Azure CLI или Azure Resource Manager настоятельно рекомендуется использовать секретный идентификатор, который не указывает версию. Таким образом шлюз приложений автоматически сменит сертификат, если в хранилище ключей доступна более новая версия. Пример URI секрета без версии https://myvault.vault.azure.net/secrets/mysecret/.
Сертификаты в шлюзе приложений
Шлюз приложений поддерживает отправку сертификатов без необходимости настройки Azure Key Vault. Чтобы обновить отправленные сертификаты, выполните следующие действия для портала Azure, Azure PowerShell или Azure CLI.
Портал Azure
Чтобы обновить сертификат слушателя на портале, перейдите к вашим прослушивателям шлюза приложений. Выберите прослушиватель с сертификатом, который необходимо продлить, а затем выберите "Продлить" или изменить выбранный сертификат.
Отправьте новый PFX-сертификат, присвойте ему имя, введите пароль и нажмите кнопку "Сохранить".
Azure PowerShell
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Чтобы узнать, как перейти на модуль Az PowerShell, см. статью Миграция Azure PowerShell с AzureRM на Az.
Чтобы продлить сертификат с помощью Azure PowerShell, используйте следующий сценарий:
$appgw = Get-AzApplicationGateway `
-ResourceGroupName <ResourceGroup> `
-Name <AppGatewayName>
$password = ConvertTo-SecureString `
-String "<password>" `
-Force `
-AsPlainText
set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password
Set-AzApplicationGateway -ApplicationGateway $appgw
Azure CLI (интерфейс командной строки Azure)
az network application-gateway ssl-cert update \
-n "<CertName>" \
--gateway-name "<AppGatewayName>" \
-g "ResourceGroupName>" \
--cert-file <PathToCerFile> \
--cert-password "<password>"
Дальнейшие действия
Сведения о настройке разгрузки TLS с помощью шлюза приложений Azure см. в статье "Настройка разгрузки TLS".