Как получить работу HTTPS / SSL - Azure WAF (шлюз приложений) с двумя веб-сайтами в Linux

Мне не удается заставить SSL / HTTPS работать на Azure WAF (ApplicationGateway) (http / порт: 80 работает нормально)

Я объясню сценарий как можно проще:

Разработчик создал два веб-сайта (например, X.com и Y.com), оба на сервере переднего плана Linux в AZURE, которые находятся за NSG, а также WAF шлюза приложений Azure

Разработчик указывает DNS-записи X.com и Y.com на единый IP-адрес WAF (appGatewayFrontendIP).

Пользователи могут без проблем просматривать оба веб-сайта http / port: 80.

Теперь проблема заключается в том, как заставить SSL работать, пока:

Разработчик применил SSL-сертификаты к обоим веб-сайтам на веб-сервере Linux в Azure.

Как заставить SSL работать с WAF?
Я просматривал документы MS весь день, но не совсем уверен, как заставить это работать (https://docs.microsoft.com/en-us/azure/application-gateway/create-ssl-portal )

Я вижу, что нам нужно поместить сертификат PFX внутрь - я предполагаю, что самоподписанный сертификат - это НЕ способ. Однако я не понимаю, что я делаю в этом сценарии -

Как мне получить сертификат PFX и как это работает, когда у вас есть 2 веб-сайта на одном Front End Linux Server -

Нужно ли мне снимать сертификаты SSL на внешнем сервере Linux и вместо .cert получать сертификат .PFX и загружать его через портал Azure?

Любая помощь действительно приветствуется! :)

Спасибо


azure ssl azure-application-gateway https web-application-firewall
person Awsming    schedule 18.07.2018    source источник
comment
Обратите внимание на теги, которые вы используете. waf - это не брандмауэр веб-приложений.   -  person neuro    schedule 26.09.2018

Ответы (2)


arrow_upward
2
arrow_downward

Если вы хотите, чтобы внешний интерфейс (т. Е. Общедоступный IP-адрес) обслуживал HTTPS, вам понадобится сертификат PFX, назначенный прослушивателю соответствующего внутреннего сайта.

Например: X PfxCert должен быть назначен слушателю, который направляет трафик в приложение X.com. Y PfxCert должен быть назначен слушателю, который направляет трафик на Y.com. приложение

Это зашифрует трафик между вашими клиентами и WAF. Вам нужно будет получить его в центре сертификации (например, comodoca.com), чтобы гарантировать, что ваш конечный пользователь не получит одну из тех ошибок, которые вы бы увидели здесь, если бы использовали самоподписанный: https://self-signed.badssl.com/

Вдобавок вам понадобятся разные сертификаты для серверной части. Это зашифрует трафик между WAF и вашими приложениями (даже если они все находятся в Azure, вам это все равно понадобится). Он назначается в HTTPSettings. Вы можете уйти с самоподписью здесь; однако в своей работе мы используем сертификаты, предоставленные CA для обоих.

Наконец, если цель состоит в том, чтобы разместить X.com и Y.com на одной виртуальной машине, вы должны иметь возможность настроить правила на основе пути, которые будут направлять трафик соответствующим образом. В качестве альтернативы вы можете иметь несколько сетевых адаптеров на своей виртуальной машине и настроить несколько внутренних пулов для направления трафика на соответствующий сайт.

Использованная литература:

person mgfink    schedule 18.07.2018

arrow_upward
0
arrow_downward

Предполагая, что у вас есть два разных сертификата для X.com и Y.com, вы должны связать эти сертификаты с соответствующими многосайтовыми прослушивателями, которые вы бы создали для прослушивания порта 443. Вы должны создать два новых правила, которые связывают эти прослушиватели с соответствующие серверные пулы с использованием настройки HTTP. Не забудьте удалить любые другие правила, кроме 4 правил (2 для прослушивателя HTTPS и 2 для прослушивателя HTTP).

На этом этапе вы должны иметь возможность отправлять трафик этим слушателям, которые прерывают SSL и запускают правила WAF. Поскольку ваш бэкэнд уже настроен для прослушивания порта 80, он должен работать как есть с существующими настройками HTTP. Связь с сервером осуществляется через HTTP.

Если вы хотите включить сквозной SSL, то есть повторно зашифровать трафик в серверную часть, вам следует следовать документации по включению end to end SSL в указанной выше настройке.

person amsriva-msft    schedule 13.08.2018