HTTPS/SSL Azure 上的证书和流量 - 从 CDN(带 SSL 的自定义域)到流量管理器和端到端流
HTTPS/SSL Certificates and traffic on Azure - From CDN (custom domain with SSL) to Traffic Manager and end to end flow
我们一直致力于 Azure 上的上游服务流。以下是架构:
用户 -> DNS -> Azure CDN -> Azure 流量管理器 -> 前端负载均衡器(防火墙 NVA) -> Azure 应用程序网关 -> 后端池(VM-Web 服务器)
以上流程是为客户设计的,我们正在提供相同的流程。整个端到端流程适用于 HTTP 请求。
但是对于带 SSL 的 HTTPS,流程只在流量管理器之前有效,一旦我们在流程中添加 CDN,它就会出错,'Request cannot be served',在浏览器中检查时,它显示 502 bad gateway in开发者工具
目前我们看到的:
- 对于
的 HTTP 请求,端到端流程正在无缝工作
- HTTPs/SSL 已完成以下配置的请求:
a) CDN:我们有一个配置文件,其中包含自定义域和 HTTPS,并且通过 it.The 启用了证书配置文件同时启用了 80,443
b) 流量管理器:端点设置为端口 443
c) 应用程序网关:计划使用端到端 SSL 加密
i) 侦听器位于 443 端口并具有 pfx 证书
ii) 使用 HTTPS 的 HTTP 设置并具有来自原始网络服务器的 cer 证书
我们尝试了 CDN 和流量管理器的不同配置组合,但似乎没有效果。我需要此流程端到端地处理 HTTPS 请求。这是为了产品迁移到 Azure。
很抱歉没有跟进并回复此问题。
针对上述问题和要求,已经解决。
以下是采取的步骤:
- CDN 配置的来源类型为 select 作为 自定义来源 - 原始主机名 被指定为流量管理器 URL 例如。 abc.trafficmanager.net。 原始主机 Header 留空
- 对于流量管理器配置文件,将端点更改为 Azure 端点 selected 目标资源类型 为 Public IP 地址 并添加了 负载均衡器
的 public IP 地址
- 对于应用程序网关,必须确保我们使用 PROPER CA CERTIFIED CERTIFICATE 进行端到端 SSL 加密,我们尝试使用自签名的,因此没有工作。我们购买了一个并使用了它,CDN响应如预期
- 另一个重要的观察是,对于HTTP设置(即后端设置)中的应用程序网关,同一个CER证书可以用于多个网站用于后端服务器证书白名单。
您希望使用的证书 (cer),将其设置为您服务器上的默认证书,例如针对名为 abcxyz.com 的特定网站。然后 abcxyz.com 的证书可用于将该服务器上所有网站的后端列入白名单
简而言之,应用网关后端只检查证书(cer)是否有效,与主机名或证书是哪个域无关,如果证书匹配且有效,已列入白名单
所以伙计们,通过所有详细的研究和逻辑推理的线索,我们能够获得与上面提到的完全相同的流程,适用于 HTTP 和 HTTPs,使用 SSL 加密以及应用程序网关的 SSL 卸载。
再次感谢大家的支持和建议!!
我们一直致力于 Azure 上的上游服务流。以下是架构:
用户 -> DNS -> Azure CDN -> Azure 流量管理器 -> 前端负载均衡器(防火墙 NVA) -> Azure 应用程序网关 -> 后端池(VM-Web 服务器)
以上流程是为客户设计的,我们正在提供相同的流程。整个端到端流程适用于 HTTP 请求。
但是对于带 SSL 的 HTTPS,流程只在流量管理器之前有效,一旦我们在流程中添加 CDN,它就会出错,'Request cannot be served',在浏览器中检查时,它显示 502 bad gateway in开发者工具
目前我们看到的:
- 对于 的 HTTP 请求,端到端流程正在无缝工作
- HTTPs/SSL 已完成以下配置的请求:
a) CDN:我们有一个配置文件,其中包含自定义域和 HTTPS,并且通过 it.The 启用了证书配置文件同时启用了 80,443
b) 流量管理器:端点设置为端口 443
c) 应用程序网关:计划使用端到端 SSL 加密
i) 侦听器位于 443 端口并具有 pfx 证书
ii) 使用 HTTPS 的 HTTP 设置并具有来自原始网络服务器的 cer 证书
我们尝试了 CDN 和流量管理器的不同配置组合,但似乎没有效果。我需要此流程端到端地处理 HTTPS 请求。这是为了产品迁移到 Azure。
很抱歉没有跟进并回复此问题。 针对上述问题和要求,已经解决。 以下是采取的步骤:
- CDN 配置的来源类型为 select 作为 自定义来源 - 原始主机名 被指定为流量管理器 URL 例如。 abc.trafficmanager.net。 原始主机 Header 留空
- 对于流量管理器配置文件,将端点更改为 Azure 端点 selected 目标资源类型 为 Public IP 地址 并添加了 负载均衡器 的 public IP 地址
- 对于应用程序网关,必须确保我们使用 PROPER CA CERTIFIED CERTIFICATE 进行端到端 SSL 加密,我们尝试使用自签名的,因此没有工作。我们购买了一个并使用了它,CDN响应如预期
- 另一个重要的观察是,对于HTTP设置(即后端设置)中的应用程序网关,同一个CER证书可以用于多个网站用于后端服务器证书白名单。 您希望使用的证书 (cer),将其设置为您服务器上的默认证书,例如针对名为 abcxyz.com 的特定网站。然后 abcxyz.com 的证书可用于将该服务器上所有网站的后端列入白名单
简而言之,应用网关后端只检查证书(cer)是否有效,与主机名或证书是哪个域无关,如果证书匹配且有效,已列入白名单
所以伙计们,通过所有详细的研究和逻辑推理的线索,我们能够获得与上面提到的完全相同的流程,适用于 HTTP 和 HTTPs,使用 SSL 加密以及应用程序网关的 SSL 卸载。
再次感谢大家的支持和建议!!