如何获取Azure应用程序网关HTTPS侦听器的证书

Question

我正在尝试使用Application Gateway建立端到端SSL连接以与AppService实例进行通信。 AppService实例具有使用SSL的自定义域。

现在，我想保护从客户端到应用程序网关的连接。在为网关添加HTTPS侦听器时，要求我上载.pfx证书。如this guide和here所述，我已经设法使用自签名证书设置了整个过程，但是我找不到有关如何生成pfx证书以分配给侦听器的任何信息。在生产中。

我的问题如下：

• 无法为网关分配域，我所拥有的只是公共IP。如何在生产环境中获得此证书才能使其在该IP地址上工作？
• 我可以在Azure上或使用第三方服务（如果有的话，有任何建议）获得它吗？

Answer 1

无法为网关分配域，我所拥有的只是公共的 IP。如何在生产中获得此证书 可以在该IP地址上工作的环境？

SSL证书不是特定于IP的。对于您的情况，对于端到端SSL，您需要：

1. 在您的自定义域中创建指向WAF IP的DNS记录
2. 从商业CA获得证书
3. 使用cert和FQDN（主机名，在＃1创建）在WAF上创建“多站点” HTTPS侦听器
4. 将现有应用程序服务添加为后端池
5. 使用以下命令添加HTTP设置
   • 后端协议HTTPS
   • 覆盖主机名-是
   • 从后端目标中选择主机名
6. 创建请求路由规则以使用HTTP设置将侦听器与池链接

或者，您可以更新应用程序服务的现有DNS记录以指向WAF IP，并使用现有的证书来设置侦听器。

我可以在Azure上还是使用第三方服务（如果是， 建议）？ 您可以使用Azure Key Vault从DigiCert or GlobalSign获取证书。

Answer 2

对于您的情况，由于您没有自定义域，并且依赖于应用程序网关的公共IP地址的默认DNS名称-因此，由于您不拥有cloudapp，因此您将无法为监听器配置SSL / TLS .net域，因此将没有pfx。请注意，它必须是由著名的CA签署的证书，否则您的客户端应用程序最终会收到与证书信任有关的错误（除非它们的末尾安装了根CA）。

为更好地控制传入路由，建议在生产环境中获取您的域，然后为您的域购买SSL证书（通配符或裸露），然后再将.pfx文件上传到应用程序网关侦听器。在这种情况下，您可以从Azure或任何其他供应商处购买证书。