续订应用程序网关证书

在某种情况下,如果为 TLS/SSL 加密配置了应用程序网关,则需要续订证书。

证书可能存在于两个位置:存储在 Azure Key Vault 中的证书,或上传到应用程序网关的证书。

Azure Key Vault 中的证书

在应用程序网关在配置为使用 Key Vault 证书后,其实例会从 Key Vault 检索证书并将其安装到本地进行 TLS 终止。 实例按 4 小时的时间间隔轮询 Key Vault,以便检索证书的续订版本(如果存在)。 如果发现了更新的证书,则目前与 HTTPS 侦听器关联的 TLS/SSL 证书会自动轮换。

提示

对应用程序网关的任何更改都会导致针对 Key Vault 的检查,以查看是否存在任何可用的新证书版本。 这包括(但不限于)对前端 IP 配置、侦听器、规则、后端池、资源标记等的更改。 如果发现更新的证书,将立即显示新证书。

应用程序网关在密钥保管库中使用机密标识符引用证书。 对于 Azure PowerShell、Azure CLI 或 Azure 资源管理器,我们强烈建议使用未指定版本的机密标识符。 这样,如果密钥保管库中有更新的版本可用,应用程序网关将自动轮换证书。 没有版本的机密 URI 的一个示例是 https://myvault.vault.azure.cn/secrets/mysecret/

应用程序网关上的证书

应用程序网关支持证书上传,无需配置 Azure Key Vault。 若要续订上传的证书,请对 Azure 门户、Azure PowerShell 或 Azure CLI 执行以下步骤。

Azure 门户

若要从门户续订侦听器证书,请导航到应用程序网关侦听器。 选择具有需要续订的证书的侦听器,然后选择“续订或编辑所选证书”。

Renew certificate

上传新的 PFX 证书,为其命名,输入密码,然后选择“保存”。

Azure PowerShell

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

若要使用 Azure PowerShell 续订证书,请使用以下脚本:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

后续步骤

若要了解如何使用 Azure 应用程序网关配置 TLS 卸载,请参阅配置 TLS 卸载