续订应用程序网关证书
在某种情况下,如果为 TLS/SSL 加密配置了应用程序网关,则需要续订证书。
证书可能存在于两个位置:存储在 Azure Key Vault 中的证书,或上传到应用程序网关的证书。
Azure Key Vault 中的证书
在应用程序网关在配置为使用 Key Vault 证书后,其实例会从 Key Vault 检索证书并将其安装到本地进行 TLS 终止。 实例按 4 小时的时间间隔轮询 Key Vault,以便检索证书的续订版本(如果存在)。 如果发现了更新的证书,则目前与 HTTPS 侦听器关联的 TLS/SSL 证书会自动轮换。
提示
对应用程序网关的任何更改都会导致针对 Key Vault 的检查,以查看是否存在任何可用的新证书版本。 这包括(但不限于)对前端 IP 配置、侦听器、规则、后端池、资源标记等的更改。 如果发现更新的证书,将立即显示新证书。
应用程序网关在密钥保管库中使用机密标识符引用证书。 对于 Azure PowerShell、Azure CLI 或 Azure 资源管理器,我们强烈建议使用未指定版本的机密标识符。 这样,如果密钥保管库中有更新的版本可用,应用程序网关将自动轮换证书。 没有版本的机密 URI 的一个示例是 https://myvault.vault.azure.cn/secrets/mysecret/。
应用程序网关上的证书
应用程序网关支持证书上传,无需配置 Azure Key Vault。 若要续订上传的证书,请对 Azure 门户、Azure PowerShell 或 Azure CLI 执行以下步骤。
Azure 门户
若要从门户续订侦听器证书,请导航到应用程序网关侦听器。 选择具有需要续订的证书的侦听器,然后选择“续订或编辑所选证书”。
上传新的 PFX 证书,为其命名,输入密码,然后选择“保存”。
Azure PowerShell
注意
建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az。
若要使用 Azure PowerShell 续订证书,请使用以下脚本:
$appgw = Get-AzApplicationGateway `
-ResourceGroupName <ResourceGroup> `
-Name <AppGatewayName>
$password = ConvertTo-SecureString `
-String "<password>" `
-Force `
-AsPlainText
set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password
Set-AzApplicationGateway -ApplicationGateway $appgw
Azure CLI
az network application-gateway ssl-cert update \
-n "<CertName>" \
--gateway-name "<AppGatewayName>" \
-g "ResourceGroupName>" \
--cert-file <PathToCerFile> \
--cert-password "<password>"
后续步骤
若要了解如何使用 Azure 应用程序网关配置 TLS 卸载,请参阅配置 TLS 卸载。