この記事では、Azure portal を使用して Application Gateway で相互認証を構成する方法について説明します。 相互認証とは、Application Gateway にアップロードしたクライアント証明書を使用して、要求を送信するクライアントを Application Gateway が認証することです。
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
開始する前に
Application Gateway との相互認証を構成するには、ゲートウェイにアップロードするクライアント証明書が必要です。 クライアント証明書は、クライアントが Application Gateway に提示する証明書を検証するために使用されます。 テスト目的で、自己署名証明書を使用してもかまいません。 ただし、運用ワークロードでは管理が難しく、完全にセキュリティで保護されていないため、これはお勧めできません。
特にアップロードできるクライアント証明書の種類の詳細については、「 Application Gateway との相互認証の概要」を参照してください。
新しい Application Gateway を作成する
最初に、ポータルで通常と同様に新しい Application Gateway を作成します。相互認証を有効にするために作成に追加の手順は必要ありません。 ポータルで Application Gateway を作成する方法の詳細については、 ポータルのクイックスタート チュートリアルを参照してください。
相互認証を構成する
相互認証を使用して既存の Application Gateway を構成するには、まずポータルの [SSL 設定 ] タブに移動し、新しい SSL プロファイルを作成する必要があります。 SSL プロファイルを作成すると、 クライアント認証 と SSL ポリシーの 2 つのタブが表示されます。 [クライアント認証] タブでは、クライアント証明書をアップロードします。 [ SSL ポリシー ] タブでは、リスナー固有の SSL ポリシーを構成します。詳細については、「 リスナー固有の SSL ポリシーの構成」を参照してください。
重要
クライアント CA 証明書チェーン全体を 1 つのファイルにアップロードし、ファイルごとにチェーンを 1 つだけアップロードしてください。
ポータルで Application Gateway を検索し、[ アプリケーション ゲートウェイ] を選択して、既存の Application Gateway をクリックします。
左側のメニューから [SSL 設定 ] を選択します。
上部にある SSL プロファイル の横にあるプラス記号をクリックして、新しい SSL プロファイルを作成します。
[SSL プロファイル名] に名前を入力します。 この例では、SSL プロファイル applicationGatewaySSLProfile を呼び出します。
[クライアント認証] タブに移動します。[新しい証明書のアップロード] ボタンを使用して、クライアントと Application Gateway の間の相互認証に使用する PEM 証明書をアップロードします。
ここでアップロードする信頼されたクライアント CA 証明書チェーンを抽出する方法の詳細については、 信頼されたクライアント CA 証明書チェーンを抽出する方法を参照してください。
注
これが最初の SSL プロファイルではなく、他のクライアント証明書を Application Gateway にアップロードした場合は、ドロップダウン メニューからゲートウェイ上の既存の証明書を再利用できます。
Application Gateway に クライアント証明書の直近の発行者識別名 を確認させたい場合にのみ、[クライアント証明書発行者の DN の確認] ボックスをオンにします。
リスナー固有のポリシーを追加することを検討してください。 リスナー固有の SSL ポリシーを設定する手順を参照してください。
[ 追加] を選択して保存します。
SSL プロファイルをリスナーに関連付ける
相互認証が構成された SSL プロファイルを作成したので、SSL プロファイルをリスナーに関連付けて、相互認証のセットアップを完了する必要があります。
既存の Application Gateway に移動します。 上記の手順を完了した場合は、ここで何もする必要はありません。
左側のメニューから [リスナー ] を選択します。
HTTPS リスナーがまだ設定されていない場合は、[ リスナーの追加] をクリックします。 HTTPS リスナーが既にある場合は、一覧からそれをクリックします。
要件に合わせて 、リスナー名、 フロントエンド IP、 ポート、 プロトコル、その他 の HTTPS 設定 を入力します。
リスナーに関連付ける SSL プロファイルを選択できるように、[ SSL プロファイルを有効にする] チェック ボックスをオンにします。
ドロップダウン リストから作成した SSL プロファイルを選択します。 この例では、前の手順で作成した SSL プロファイル applicationGatewaySSLProfile を選択します。
要件に合わせてリスナーの残りの部分を構成し続けます。
[ 追加] をクリックして、SSL プロファイルが関連付けられた新しいリスナーを保存します。
期限切れのクライアント CA 証明書を更新する
クライアント CA 証明書の有効期限が切れている場合は、次の手順でゲートウェイの証明書を更新できます。
Application Gateway に移動し、左側のメニューの [SSL 設定 ] タブに移動します。
有効期限が切れたクライアント証明書を含む既存の SSL プロファイルを選択します。
[クライアント認証] タブで [新しい証明書のアップロード] を選択し、新しいクライアント証明書をアップロードします。
有効期限が切れた証明書の横にあるごみ箱アイコンを選択します。 これにより、その証明書の関連付けが SSL プロファイルから削除されます。
同じ期限切れのクライアント証明書を使用していた他の SSL プロファイルで、上記の手順 2 から 4 を繰り返します。 他の SSL プロファイルのドロップダウン メニューから、手順 3 でアップロードした新しい証明書を選択できます。