다음을 통해 공유

Azure Application Gateway를 사용하여 백 엔드를 허용하는 인증서 만들기

엔드투엔드 TLS를 수행하려면 Application Gateway에서 인증/신뢰할 수 있는 루트 인증서를 업로드하여 백 엔드 인스턴스를 허용해야 합니다. v1 SKU의 경우 인증 인증서가 필요하지만 v2 SKU의 경우 인증서를 허용하려면 신뢰할 수 있는 루트 인증서가 필요합니다.

이 문서에서는 다음 방법을 알아봅니다.

  • 백 엔드 인증서에서 인증 인증서 내보내기(v1 SKU의 경우)
  • 백 엔드 인증서에서 신뢰할 수 있는 루트 인증서 내보내기(v2 SKU의 경우)

필수 조건

Application Gateway에서 백 엔드 인스턴스를 허용하는 데 필요한 인증 인증서 또는 신뢰할 수 있는 루트 인증서를 생성하려면 기존 백 엔드 인증서가 필요합니다. 백 엔드 인증서는 TLS/SSL 인증서와 동일하거나 보안을 강화하기 위해 다를 수 있습니다. Application Gateway는 TLS/SSL 인증서를 만들거나 구매하는 메커니즘을 제공하지 않습니다. 테스트를 위해 자체 서명된 인증서를 만들 수 있지만 프로덕션 워크로드에 사용하면 안 됩니다.

인증 인증서 내보내기(v1 SKU용)

Application Gateway v1 SKU에서 백 엔드 인스턴스를 허용하려면 인증 인증서가 필요합니다. 인증서는 Base-64로 인코딩된 X.509(.CER) 형식으로 된 백엔드 서버 인증서의 공개 키입니다. 이 예제에서는 백 엔드 인증서에 TLS/SSL 인증서를 사용하고 인증 인증으로 사용할 공개 키를 내보냅니다. 또한 이 예제에서는 Windows 인증서 관리자 도구를 사용하여 필요한 인증서를 내보냅니다. 편리한 다른 도구를 사용하도록 선택할 수 있습니다.

TLS/SSL 인증서에서 공개 키 .cer 파일(프라이빗 키 아님)을 내보냅니다. 인증서에 대한 Base-64로 인코딩된 X.509(.CER) 형식의 .cer 파일을 내보내려면 다음 단계를 따르세요.

  1. 인증서에서 .cer 파일을 가져오려면 사용자 인증서 관리를 엽니다. 인증서(일반적으로 '인증서 - 현재 사용자\개인\인증서')를 찾아 마우스 오른쪽 단추를 클릭합니다. 모든 작업을 클릭한 후 내보내기를 클릭합니다. 이렇게 하면 인증서 내보내기 마법사가 열립니다. PowerShell을 사용하여 현재 사용자 범위에서 인증서 관리자를 열려면 콘솔 창에 certmgr 을 입력합니다.

    비고

    현재 사용자\개인\인증서에서 인증서를 찾을 수 없는 경우 실수로 "인증서 - 현재 사용자"가 아닌 "인증서 - 로컬 컴퓨터"를 열었을 수 있습니다.

    스크린샷은 인증서가 선택된 인증서 관리자와 모든 작업이 있는 상황에 맞는 메뉴를 보여 줍니다. 그런 다음 내보내기가 선택되어 있습니다.

  2. 마법사에서 다음을 클릭합니다.

    인증서 내보내기

  3. 아니요를 선택하고 프라이빗 키를 내보내지 않고다음을 클릭합니다.

    프라이빗 키를 내보내지 마세요.

  4. 파일 형식 내보내기 페이지에서 Base-64로 인코딩된 X.509(를 선택합니다. CER).을 클릭한 다음 다음을 클릭합니다.

    Base-64로 인코딩됨

  5. 내보낼 파일에서 인증서를 내보내려는 위치를 찾습니다. 파일 이름에는 인증서 파일의 이름을 입력합니다. 그런 후에 다음을 클릭합니다.

    스크린샷은 내보낼 파일을 지정하는 인증서 내보내기 마법사를 보여줍니다.

  6. 마침 을 클릭하여 인증서를 내보냅니다.

    파일 내보내기를 완료한 후의 인증서 내보내기 마법사 스크린샷

  7. 인증서를 성공적으로 내보냅니다.

    성공 메시지가 있는 인증서 내보내기 마법사를 보여 줍니다.

    내보낸 인증서는 다음과 유사합니다.

    스크린샷은 인증서 기호를 보여줍니다.

  8. 메모장을 사용하여 내보낸 인증서를 열면 이 예제와 비슷한 내용이 표시됩니다. 파란색 섹션에는 Application Gateway에 업로드되는 정보가 포함되어 있습니다. 메모장에서 인증서를 열고 그것이 다음과 유사하게 보이지 않는다면, 일반적으로 이는 Base-64로 인코딩된 X.509(.CER) 형식으로 내보내지 않았음을 의미합니다. 또한 다른 텍스트 편집기를 사용하려는 경우 일부 편집기에서 백그라운드에서 의도하지 않은 서식을 도입할 수 있음을 이해합니다. 이 경우 인증서의 텍스트를 Azure로 업로드할 때 문제가 발생할 수 있습니다.

    메모장에서 열기

신뢰할 수 있는 루트 인증서 내보내기(v2 SKU의 경우)

애플리케이션 게이트웨이 v2 SKU에서 백 엔드 인스턴스를 허용하려면 신뢰할 수 있는 루트 인증서가 필요합니다. 루트 인증서는 백엔드 서버 인증서 중 하나인 Base-64로 인코딩된 X.509(.CER) 형식의 루트 인증서입니다. 이 예제에서는 백 엔드 인증서에 TLS/SSL 인증서를 사용하고, 공개 키를 내보낸 다음, base64로 인코딩된 형식의 공개 키에서 신뢰할 수 있는 CA의 루트 인증서를 내보내 신뢰할 수 있는 루트 인증서를 가져옵니다. 중간 인증서는 서버 인증서와 함께 번들로 묶고 백 엔드 서버에 설치해야 합니다.

다음 단계는 인증서에 대한 .cer 파일을 내보내는 데 도움이 됩니다.

  1. 이전 섹션에 설명된 1-8단계 를 사용하여 인증 인증서 내보내기(v1 SKU용) 를 사용하여 백 엔드 인증서에서 공개 키를 내보냅니다.

  2. 공개 키를 내보낸 후 파일을 엽니다.

    권한 부여 인증서 열기

    인증서 정보

  3. 인증 기관을 보려면 인증 경로 보기로 이동합니다.

    인증서 세부 정보

  4. 루트 인증서를 선택하고 인증서 보기를 클릭합니다.

    인증서 경로

    루트 인증서 세부 정보가 표시됩니다.

    인증서 정보

  5. 세부 정보 보기로 이동하고 파일로 복사를 클릭합니다.

    루트 인증서 복사

  6. 이 시점에서 백 엔드 인증서에서 루트 인증서의 세부 정보를 추출했습니다. 인증서 내보내기 마법사가 표시됩니다. 이전 섹션에 언급된 바와 같이 이제 백엔드 인증서(v1 SKU용)에서 인증서 내보내기를 사용하여 Base-64로 인코딩된 X.509(.CER) 형식으로 신뢰할 수 있는 루트 인증서를 내보냅니다.

다음 단계

이제 Base-64로 인코딩된 X.509(.CER) 형식의 인증서/신뢰할 수 있는 루트 인증서를 갖게 되었습니다. 엔드투엔드 TLS 암호화를 위해 백 엔드 서버를 허용하도록 애플리케이션 게이트웨이에 추가할 수 있습니다. PowerShell에서 Application Gateway를 사용하여 엔드투엔드 TLS 구성을 참조하세요.