私有 IP 的 Azure 应用程序网关 SSL 设置

Question

我正在将 Azure 应用程序网关配置为在 Azure Vnet 私有 IP 上内部提供服务，我已经分配了私有 DNS 名称，例如 my-gateway.private，现在我想将 SSL 配置为在内部服务器 https 请求。是否可以在 Azure 中为私有域生成证书？考虑到自签名将无法正常工作，因为我无法在客户端关闭根证书/受信任的 CA 验证。

Answer 1

首先，你没有提到后端的类型是什么。它是服务器池还是应用服务？据我了解，您将虚拟机用作后端服务器。与 Azure VM 相比，Azure 应用服务有更多选择。

此外，应用程序网关不提供任何创建新证书或向证书颁发机构发送证书请求的能力。

应用网关支持以下类型的证书：

• CA（证书颁发机构）证书：CA 证书是由证书颁发机构 (CA) 颁发的数字证书
• EV（扩展验证）证书：EV 证书是符合行业标准证书指南的证书。这会将浏览器定位器栏变为绿色并同时发布公司名称。
• 通配符证书：此证书支持基于 *.site.com 的任意数量的子域，您的子域将替换 *
• 自签名证书：客户端浏览器不信任这些证书，并会警告用户虚拟服务的证书不是信任链的一部分。自签名证书适用于管理员控制客户端并可以安全绕过浏览器安全警报​​的测试或环境。生产工作负载绝不应使用自签名证书。

欲了解更多信息：https://docs.microsoft.com/en-us/azure/application-gateway/ssl-overview