1

我无法让 SSL/HTTPS 在 Azure WAF(ApplicationGateway)上工作(http / port:80 工作正常)

我将尽可能基本地解释这个场景:

开发人员在 AZURE 的 Linux 前端服务器上创建了两个网站(例如:X.comY.com ),位于NSGAzure 应用程序网关 WAF后面

开发者将X.com和Y.com的DNS记录指向WAF的单一IP(appGatewayFrontendIP)

用户可以毫无问题地浏览两个网站 http / port:80。

现在的问题在于如何让 SSL 工作,到目前为止:

开发人员已将 SSL 证书应用于 Azure 中 Linux Web 服务器上的两个网站

如何让 SSL 在 WAF 上工作?
我整天都在浏览 MS Docs,但不确定如何让它工作(https://docs.microsoft.com/en-us/azure/application-gateway/create-ssl-portal

我看到我们需要在里面放一个 PFX 证书 - 我假设自签名证书不是要走的路。但是,我对在这种情况下所做的事情并不明智-

当您在单个前端 Linux 服务器上有 2 个网站时,我如何获得 PFX 证书以及它如何工作 -

我是否需要取消前端 Linux 服务器上的 SSL 证书,而不是 .cert 获取 .PFX 证书并通过 Azure 门户上传?

真正欢迎任何帮助!:)

谢谢

4

2 回答 2

2

如果您希望前端(即公共 IP)提供 HTTPS,则需要将 PFX 证书分配给相应后端站点的侦听器。

例如: X PfxCert 应分配给将流量定向到 X.com 应用程序 的侦听器Y PfxCert 应分配给将流量定向到 Y.com 应用程序的侦听器

这将加密您的客户和 WAF 之间的流量。您需要从证书颁发机构(例如 comodoca.com)获得一个,以确保您的最终用户不会遇到像您在使用自签名时会在此处看到的错误之一:https://self-signed .badssl.com/

此外,后端需要不同的证书。这将加密 WAF 和您的应用程序之间的流量(即使它们都在 Azure 中,您仍然需要它)。它在 HTTPSettings 中分配。您也许可以在这里自签名而逃脱;但是,在我们的工作中,我们使用 CA 为两者提供的证书。

最后,如果目标是将 X.com 和 Y.com 托管在同一个 VM 上,您应该能够配置基于路径的规则来适当地引导流量。作为替代方案,您可以在 VM 上拥有多个 NIC,并配置多个后端池以将流量引导到适当的站点。

参考:

于 2018-07-18T15:06:49.660 回答
0

假设您有 X.com 和 Y.com 的两个不同证书,那么您应该将这些证书与相应的多站点侦听器相关联,您将创建侦听端口 443。您应该创建两个将这些侦听器关联到的新规则使用 HTTP 设置的相应后端池。请记住删除除 4 条规则之外的任何其他规则(2 条用于 HTTPS 侦听器,2 条用于 HTTP 侦听器)。

此时,您应该能够向这些侦听器发送流量,这些侦听器将终止 SSL 并运行 WAF 规则。由于您的后端已配置为侦听端口 80,因此它应该与现有的 HTTP 设置一样工作。后端通信是通过 HTTP 进行的。

如果您想启用端到端 SSL - 即重新加密到后端的流量,那么您应该遵循有关在上述设置中启用端到端 SSL的文档。

于 2018-08-13T21:47:24.690 回答