在Azure应用程序网关前端强制实施TLS

86次阅读
没有评论

问题描述

正在使用Azure Application Gateway(SKU:WAF_v2),并已成功配置了该网关以使得请求按预期工作,并且配置的后端作出了预期的响应。现在,用户希望在客户端(例如CLI上的curl)和网关之间的前端部分实现单向TLS。他已成功使用自签名证书(在本地生成)并在网关中创建了一个侦听器,将该证书上传到该侦听器中。对于这个侦听器,他没有创建或关联任何SSL配置文件。用户现在对如何使用由证书颁发机构(CA)签名的证书表示怀疑。

解决方案

请注意以下操作可能涉及到版本差异及修改前做好备份。

使用由证书颁发机构(CA)签名的证书

要在Azure应用程序网关前端实现单向TLS,并使用由证书颁发机构(CA)签名的证书,可以遵循以下步骤:

  1. 获取证书: 要使用CA签名的证书,您需要购买或获取来自受信任CA的证书。Azure支持的证书供应商之一是Azure Key Vault。您可以使用Azure Key Vault来管理证书并将其用于应用程序网关。

  2. 将证书上传到Azure Key Vault: 登录到Azure门户,导航到Azure Key Vault,然后上传您从CA获取的证书。

  3. 配置应用程序网关: 现在,您需要将证书配置到应用程序网关的前端侦听器中。这将需要创建或更新应用程序网关的侦听器。

  4. 登录到Azure门户,导航到您的应用程序网关。

  5. 找到并编辑与前端侦听器相关的配置。
  6. 在配置中选择使用CA签名的证书,该证书来自于Azure Key Vault。

  7. 更新DNS记录: 如果您的应用程序网关前端将使用自定义域名(如myproject.westeurope.cloudapp.azure.com),则需要确保DNS记录指向应用程序网关的公共IP地址。您可以在Azure门户中的相关资源中管理DNS记录。

请注意,与自签名证书相比,使用CA签名的证书需要一些额外的配置步骤。您需要确保证书是来自受信任CA的,并且DNS记录正确配置。

使用Azure提供的默认域名

如果您不需要使用自定义域名,Azure应用程序网关也提供了默认的Azure域名,类似于Azure Functions中的域名。您可以使用这个默认域名来实现TLS。

  1. 查找默认域名: 在Azure应用程序网关的配置中,查找默认的Azure域名。

  2. 配置应用程序网关: 确保应用程序网关的前端侦听器配置启用了TLS,并使用默认域名。

  3. 更新DNS记录(可选): 如果需要,您可以更新DNS记录以指向默认域名,从而使其易于访问。

请注意,默认域名可能不够个性化,但是它提供了一种无需处理证书的快速实现TLS的方法。

总结

在Azure应用程序网关前端实施单向TLS需要使用由证书颁发机构(CA)签名的证书。您可以通过Azure Key Vault管理证书,然后在应用程序网关的前端侦听器中配置它。如果您不需要自定义域名,您还可以使用Azure提供的默认域名来实现TLS。请确保在执行这些步骤之前进行适当的计划和备份。

正文完