问题描述
正在使用Azure Application Gateway(SKU:WAF_v2),并已成功配置了该网关以使得请求按预期工作,并且配置的后端作出了预期的响应。现在,用户希望在客户端(例如CLI上的curl)和网关之间的前端部分实现单向TLS。他已成功使用自签名证书(在本地生成)并在网关中创建了一个侦听器,将该证书上传到该侦听器中。对于这个侦听器,他没有创建或关联任何SSL配置文件。用户现在对如何使用由证书颁发机构(CA)签名的证书表示怀疑。
解决方案
请注意以下操作可能涉及到版本差异及修改前做好备份。
使用由证书颁发机构(CA)签名的证书
要在Azure应用程序网关前端实现单向TLS,并使用由证书颁发机构(CA)签名的证书,可以遵循以下步骤:
获取证书: 要使用CA签名的证书,您需要购买或获取来自受信任CA的证书。Azure支持的证书供应商之一是Azure Key Vault。您可以使用Azure Key Vault来管理证书并将其用于应用程序网关。
将证书上传到Azure Key Vault: 登录到Azure门户,导航到Azure Key Vault,然后上传您从CA获取的证书。
配置应用程序网关: 现在,您需要将证书配置到应用程序网关的前端侦听器中。这将需要创建或更新应用程序网关的侦听器。
登录到Azure门户,导航到您的应用程序网关。
- 找到并编辑与前端侦听器相关的配置。
在配置中选择使用CA签名的证书,该证书来自于Azure Key Vault。
更新DNS记录: 如果您的应用程序网关前端将使用自定义域名(如
myproject.westeurope.cloudapp.azure.com),则需要确保DNS记录指向应用程序网关的公共IP地址。您可以在Azure门户中的相关资源中管理DNS记录。
请注意,与自签名证书相比,使用CA签名的证书需要一些额外的配置步骤。您需要确保证书是来自受信任CA的,并且DNS记录正确配置。
使用Azure提供的默认域名
如果您不需要使用自定义域名,Azure应用程序网关也提供了默认的Azure域名,类似于Azure Functions中的域名。您可以使用这个默认域名来实现TLS。
查找默认域名: 在Azure应用程序网关的配置中,查找默认的Azure域名。
配置应用程序网关: 确保应用程序网关的前端侦听器配置启用了TLS,并使用默认域名。
更新DNS记录(可选): 如果需要,您可以更新DNS记录以指向默认域名,从而使其易于访问。
请注意,默认域名可能不够个性化,但是它提供了一种无需处理证书的快速实现TLS的方法。
总结
在Azure应用程序网关前端实施单向TLS需要使用由证书颁发机构(CA)签名的证书。您可以通过Azure Key Vault管理证书,然后在应用程序网关的前端侦听器中配置它。如果您不需要自定义域名,您还可以使用Azure提供的默认域名来实现TLS。请确保在执行这些步骤之前进行适当的计划和备份。