应用程序网关中的侦听器 TLS/SSL 证书用于终止网关上的客户端 TLS 连接。 此函数类似于将证书上传到 Web 服务器以支持来自客户端/浏览器的 TLS/HTTPS 连接。
应用程序网关上的 TLS/SSL 证书存储在本地证书对象或容器中。 然后,此证书容器的引用将提供给侦听器,以支持客户端的 TLS 连接。 请参阅下面的插图以便更好地理解。
下面是示例应用程序网关配置。 SSLCertificates 属性包括链接到密钥保管库的证书对象“contoso-agw-cert”。 “listener1”引用该证书对象。
本部分用于列出应用程序网关上存在的所有 SSL 证书对象。 此视图等效于运行 PowerShell 命令 Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW 或 CLI 命令 az network application-gateway ssl-cert list --gateway-name --resource-group。
此页提供了所有证书、它们的类型以及与侦听器的关联的快速摘要。
密钥保管库:可以将你的 PFX 证书存储在 Azure Key Vault 中,后者是一种托管证书存储服务,允许严格的访问控制等。 了解如何与密钥保管库集成。
已上传:将 PFX 证书直接提供给应用程序网关。 还需要证书密码。
在列表视图中,可以选择证书名称或省略号菜单选项以导航到“编辑”页。 “编辑”选项对以下用例很有帮助。
更改证书的密钥保管库关联 - 可以将证书的引用从一个密钥保管库资源更改为另一个密钥保管库资源。 这样做时,请确保应用程序网关的用户分配托管标识对新的密钥保管库具有足够的访问控制。
续订上传的证书 - 当现有的已上传证书需要续订时,可以将新的 PFX 文件上传到应用程序网关的现有证书对象。
将证书类型从“密钥保管库”更改为“已上传”(反之亦然)- 可以轻松地将证书预配从存储在应用程序网关上的证书转换为专门构建的 Key Vault 服务。
注意
与多个侦听器关联的证书的更改将反映在所有侦听器上。 可以查看单个侦听器信息来标识相关的侦听器。
从门户删除证书时,有两种主要情况:
- 没有任何侦听器关联的 SSL 证书 - 此类证书不由任何侦听器使用,可以直接删除。
- 具有关联侦听器的 SSL 证书 - 根据应用程序网关的配置,这些子资源可能会受到影响。
| 子资源 | 影响 |
|---|---|
| 证书 | 证书本身将被删除。 |
| 侦听器 | 如果证书与侦听器关联,则会删除该侦听器。 |
| 规则 | 如果规则与侦听器相关联,则会删除该侦听器和规则。 |
| 重定向 | 如果使用规则配置了重定向,则关联的重定向也会被删除。 |
| 端口 | 与侦听器关联的端口将会更新以反映新状态。 |
| 前端 IP | 网关的前端 IP 将会更新以反映新状态。 |
删除具有关联 SSL 证书的侦听器时,不会删除 SSL 证书本身。 证书将保留在应用程序网关配置中,并可以分配给另一个侦听器。
从与应用程序网关关联的密钥保管库中删除证书时,必须先在应用程序网关上删除该证书,然后在密钥保管库上删除该证书。
批量操作功能对于将多个 SSL 证书用于独立侦听器的大型网关很有用。 与单个证书管理类似,此选项还允许你将类型从“已上传”更改为“Key Vault”,反之亦然(具体取决于需要)。 当同时面临多个证书对象的错误配置时,此实用工具还有助于恢复网关。
若要使用“批量更新”选项,请执行以下操作:
使用复选框选择要更新的证书,然后选择“批量更新”菜单选项。
在下一页上,可以根据需要修改每个证书的设置。 根据你在步骤 1 中的选择,你将看到步骤 2 和步骤 3 的不同选项。 因此,对于每个证书行,最好是分步执行。 此处看到的证书取决于你的选择。 可以使用三点菜单选项从列表中删除错误选择的证书。
更新所有设置后,选择“保存”。
注意
进行批量更改时,请注意与每个证书关联的侦听器。 此单个操作可以更新多个证书和更多侦听器,具体取决于配置。 请参阅单个证书信息边栏选项卡,以标识相关的侦听器。
如果证书对象关联的侦听器是另一个侦听器的重定向目标,则无法删除该证书对象。 尝试这样做将导致返回以下错误。 若要解决此问题,可以删除重定向,也可以先删除依赖侦听器。
The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.应用程序网关至少需要一个活动的侦听器和规则组合。 因此,如果不存在其他活动侦听器,则无法删除 HTTPS 侦听器的证书。 如果网关上只有 HTTPS 侦听器,并且所有这些侦听器都引用相同的证书,则也是如此。 由于删除证书会导致删除所有依赖的子资源,因此会阻止此类操作。
如果在密钥保管库中删除了证书,但未删除应用程序网关中对证书的引用,则对应用程序网关的任何更新都会导致其显示为失败状态。 要解决此问题,必须逐一删除所有没有关联侦听器的证书。
阅读