주요 콘텐츠로 건너뛰기 이 브라우저는 더 이상 지원되지 않습니다. Show
최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요. 사용자 지정 루트 CA를 사용하여 Azure Application Gateway 자체 서명된 인증서 생성
이 문서의 내용Application Gateway v2 SKU는 백 엔드 서버를 허용하기 위해 신뢰할 수 있는 루트 인증서를 사용하는 방식을 도입했습니다. 따라서 v1 SKU에 필요한 인증 인증서가 제거되었습니다. 루트 인증서는 백 엔드 인증서 서버의 Base-64로 인코딩된 X.509(.CER) 형식 루트 인증서입니다. 이 인증서는 서버 인증서를 발급한 루트 CA(인증 기관)를 식별하며 TLS/SSL 통신에 서버 인증서가 사용됩니다. Application Gateway는 잘 알려진 CA(예: GoDaddy 또는 DigiCert)에 의해 서명된 경우 기본적으로 웹 사이트의 인증서를 신뢰합니다. 이 경우 루트 인증서를 명시적으로 업로드하지 않아도 됩니다. 자세한 내용은 Application Gateway를 사용한 TLS 종료 및 엔드투엔드 TLS 개요를 참조하세요. 그러나 개발/테스트 환경이 있고 확인된 CA 서명 인증서를 구매하지 않으려는 경우 사용자 고유의 사용자 지정 CA를 만들고 이를 사용하여 자체 서명된 인증서를 만들 수 있습니다. 참고 자체 서명된 인증서는 기본적으로 신뢰할 수 없으며 관리하기 어려울 수 있습니다. 또한 강력하지 않을 수 있는 오래된 해시 및 암호 그룹을 사용할 수 있습니다. 보안 향상을 위해 잘 알려진 인증 기관에서 서명한 인증서를 구매합니다. 이 아티클에서는 다음 방법을 설명합니다.
사전 요구 사항
루트 CA 인증서 만들기OpenSSL을 사용하여 루트 CA 인증서를 만듭니다. 루트 키 만들기
루트 인증서 만들기 및 자체 서명
서버 인증서 만들기다음으로, OpenSSL을 사용하여 서버 인증서를 만듭니다. 인증서의 키 만들기다음 명령을 사용하여 서버 인증서에 대한 키를 생성합니다.
CSR(인증서 서명 요청) 만들기CSR은 인증서를 요청할 때 CA에 제공되는 퍼블릭 키입니다. CA는 이 특정 요청에 대해 인증서를 발급합니다. 참고 서버 인증서의 CN(일반 이름)은 발급자의 도메인과 달라야 합니다. 예를 들어 이 경우 발급자의 CN은
CSR 및 키를 사용하여 인증서를 생성하고 CA의 루트 키로 서명
새로 만든 인증서 확인
웹 서버의 TLS 설정에서 인증서 구성웹 서버에서 fabrikam.crt 및 fabrikam.key 파일을 사용하여 TLS를 구성합니다. 웹 서버에서 두 개의 파일을 가져올 수 없는 경우 OpenSSL 명령을 사용하여 단일 .pem 또는 .pfx 파일로 결합할 수 있습니다. IIS인증서를 가져오고 IIS에서 서버 인증서로 업로드하는 방법에 대한 지침은 방법: Windows Server 2003에서 웹 서버에 가져온 인증서 설치를 참조하세요. TLS 바인딩 지침은 IIS 7에서 SSL을 설정하는 방법을 참조하세요. Apache다음 구성은 SSL용으로 구성된 가상 호스트 예제입니다.
NGINX다음 구성은 TLS 구성을 사용하는 NGINX 서버 블록 예제입니다. 서버에 액세스하여 구성 확인
OpenSSL을 사용하여 구성 확인또는 OpenSSL을 사용하여 인증서를 확인할 수 있습니다.
Application Gateway의 HTTP 설정에 루트 인증서 업로드Application Gateway에서 인증서를 업로드하려면 .crt 인증서를 Base-64로 인코딩된 .cer 형식으로 내보내야 합니다. .crt에는 base-64로 인코딩된 형식의 퍼블릭 키가 이미 포함되어 있으므로 .crt에서 .cer로 파일 확장명을 바꿉니다. Azure portal포털에서 신뢰할 수 있는 루트 인증서를 업로드하려면 백 엔드 설정을 선택하고 백 엔드 프로토콜에서 HTTPS를 선택합니다. Azure PowerShell또는 Azure CLI 또는 Azure PowerShell을 사용하여 루트 인증서를 업로드할 수 있습니다. 다음 코드는 Azure PowerShell 샘플입니다. 참고 다음 샘플에서는 Application Gateway에 신뢰할 수 있는 루트 인증서를 추가하고, 새 HTTP 설정을 만들고, 새 규칙을 추가하며, 백 엔드 풀 및 수신기가 이미 존재한다고 가정합니다.
Application Gateway 백 엔드 상태 확인
다음 단계Application Gateway의 SSL\TLS에 대한 자세한 내용은 Application Gateway를 사용한 TLS 종료 및 종단간 TLS 개요를 참조하세요. 추가 리소스추가 리소스이 문서의 내용 |