この記事では、Azure portal を使用して、Azure Application Gateway v1 SKU を使用してエンド ツー エンドのトランスポート層セキュリティ (TLS) 暗号化 (以前は Secure Sockets Layer (SSL) 暗号化) を構成する方法について説明します。
注
Application Gateway v2 SKU では、エンド ツー エンドの構成を有効にするために信頼されたルート証明書が必要です。
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
開始する前に
アプリケーション ゲートウェイでエンド ツー エンド TLS を構成するには、ゲートウェイの証明書が必要です。 バックエンド サーバーには証明書も必要です。 ゲートウェイ証明書は、TLS プロトコル仕様に準拠して対称キーを派生させるために使用されます。 その後、対称キーを使用して、ゲートウェイに送信されるトラフィックを暗号化および復号化します。
エンド ツー エンド TLS 暗号化の場合、アプリケーション ゲートウェイで適切なバックエンド サーバーを許可する必要があります。 このアクセスを許可するには、バックエンド サーバーのパブリック証明書 (認証証明書 (v1) または信頼されたルート証明書 (v2) とも呼ばれます) をアプリケーション ゲートウェイにアップロードします。 証明書を追加すると、アプリケーション ゲートウェイが既知のバックエンド インスタンスとのみ通信するようになります。 この構成により、エンドツーエンドの通信がさらにセキュリティで保護されます。
重要
バックエンド サーバー証明書のエラー メッセージが表示される場合は、フロントエンド証明書の共通名 (CN) がバックエンド証明書 CN と一致することを確認します。 詳細については、「信頼されたルート証明書の不一致」を参照してください。
詳細については、「Application Gateway を使用した TLS 終了とエンド ツー エンド TLS の概要」を参照してください。
エンド ツー エンド TLS を使用して新しいアプリケーション ゲートウェイを作成する
エンド ツー エンドの TLS 暗号化を使用して新しいアプリケーション ゲートウェイを作成するには、まず、新しいアプリケーション ゲートウェイの作成時に TLS 終了を有効にする必要があります。 このアクションにより、クライアントとアプリケーション ゲートウェイ間の通信に TLS 暗号化が有効になります。 次に、HTTP 設定でバックエンド サーバーの証明書を [安全な受信者] リストに追加する必要があります。 この構成により、アプリケーション ゲートウェイとバックエンド サーバー間の通信に TLS 暗号化が有効になります。 これは、エンドツーエンドの TLS 暗号化を実現します。
新しいアプリケーション ゲートウェイの作成時に TLS 終了を有効にする
詳細については、 新しいアプリケーション ゲートウェイの作成時に TLS 終了を有効にする方法に関するページを参照してください。
バックエンド サーバーの認証/ルート証明書を追加する
[すべてのリソース] を選択し、myAppGateway を選択します。
左側のメニューから [HTTP 設定 ] を選択します。 Azure では、アプリケーション ゲートウェイを作成したときに、既定の HTTP 設定 appGatewayBackendHttpSettings が自動的に作成されました。
appGatewayBackendHttpSettings を選択します。
[ プロトコル] で 、[ HTTPS] を選択します。 バックエンド認証証明書または信頼されたルート証明書のウィンドウが表示されます。
[新規作成] を選択します。
[ 名前 ] フィールドに、適切な名前を入力します。
[CER 証明書のアップロード] ボックスで 証明書 ファイルを選択します。
Standard および WAF (v1) アプリケーション ゲートウェイの場合は、バックエンド サーバー証明書の公開キーを.cer形式でアップロードする必要があります。
Standard_v2およびWAF_v2アプリケーション ゲートウェイの場合は、バックエンド サーバー証明書のルート証明書を.cer形式でアップロードする必要があります。 バックエンド証明書が既知の証明機関 (CA) によって発行されている場合は、[ 既知の CA 証明書を使用 する] チェック ボックスをオンにして、証明書をアップロードする必要はありません。
[保存] を選択します。
既存のアプリケーション ゲートウェイに対してエンド ツー エンド TLS を有効にする
エンド ツー エンド TLS 暗号化を使用して既存のアプリケーション ゲートウェイを構成するには、まずリスナーで TLS 終了を有効にする必要があります。 このアクションにより、クライアントとアプリケーション ゲートウェイ間の通信に TLS 暗号化が有効になります。 次に、バックエンド サーバーの証明書を [安全な受信者] リストの HTTP 設定に配置します。 この構成により、アプリケーション ゲートウェイとバックエンド サーバー間の通信に TLS 暗号化が有効になります。 これは、エンドツーエンドの TLS 暗号化を実現します。
TLS 終了を有効にするには、HTTPS プロトコルと証明書でリスナーを使用する必要があります。 これらの条件を満たす既存のリスナーを使用するか、新しいリスナーを作成できます。 前者のオプションを選択した場合は、次の「既存のアプリケーション ゲートウェイで TLS 終了を有効にする」セクションを無視し、「バックエンド サーバーの認証/信頼されたルート証明書を追加する」セクションに直接移動できます。
後者のオプションを選択した場合は、次の手順に従います。
既存のアプリケーション ゲートウェイで TLS 終了を有効にする
[すべてのリソース] を選択し、myAppGateway を選択します。
左側のメニューから [リスナー ] を選択します。
要件に応じて 、Basic または マルチサイト リスナーを選択します。
[ プロトコル] で 、[ HTTPS] を選択します。 [証明書] ウィンドウが表示されます。
クライアントとアプリケーション ゲートウェイの間の TLS 終了に使用する PFX 証明書をアップロードします。
注
テスト目的で、自己署名証明書を使用してもかまいません。 ただし、運用ワークロードでは管理が難しく、完全にセキュリティで保護されていないため、これはお勧めできません。 詳細については、 自己署名証明書の作成に関するページを参照してください。
要件に応じて、 リスナーに必要なその他の設定を追加します。
[ OK] を選択 して保存します。
バックエンド サーバーの認証/信頼されたルート証明書を追加する
[すべてのリソース] を選択し、myAppGateway を選択します。
左側のメニューから [HTTP 設定 ] を選択します。 証明書は、[信頼できる受信者] リストの既存のバックエンド HTTP 設定に配置することも、新しい HTTP 設定を作成することもできます。 (次の手順では、既定の HTTP 設定 appGatewayBackendHttpSettings の証明書が安全な受信者の一覧に追加されます)。
appGatewayBackendHttpSettings を選択します。
[ プロトコル] で 、[ HTTPS] を選択します。 バックエンド認証証明書または信頼されたルート証明書のウィンドウが表示されます。
[新規作成] を選択します。
[ 名前 ] フィールドに、適切な名前を入力します。
[CER 証明書のアップロード] ボックスで 証明書 ファイルを選択します。
Standard および WAF (v1) アプリケーション ゲートウェイの場合は、バックエンド サーバー証明書の公開キーを.cer形式でアップロードする必要があります。
Standard_v2およびWAF_v2アプリケーション ゲートウェイの場合は、バックエンド サーバー証明書のルート証明書を.cer形式でアップロードする必要があります。 バックエンド証明書が既知の CA によって発行されている場合は、[ 既知の CA 証明書を使用 する] チェック ボックスをオンにして、証明書をアップロードする必要はありません。
[保存] を選択します。