使用 WAFV2 Azure App Gateway 使用多个基本侦听器时无法更新 SSL 证书

Unable to update SSL cert while using multiple basic listener using WAFV2 Azure App Gateway

我无法将新的 SSL pfx 证书上传到我的 WAF V2 应用程序网关。我目前有 3 个基本的通配符侦听器设置(例如 *.contoso.com *.fabrikam.com 和 *.adatum.com),我想更新与 *.[=28= 关联的证书].

使用 UI 的问题是,如果我尝试在侦听器上更新和保存证书,我会收到一条错误消息,指示“此基本 HTTP 侦听器无法使用与现有侦听器相同的前端端口”。我知道这很可能是因为使用多个基本侦听器仍处于预览阶段,只能通过 powershell 或 ARM 模板进行设置。我最初通过 ARM 模板设置网关。

我改为尝试使用 powershell 更新侦听器的证书。我首先将 pfx 证书上传到密钥库。然后,我为应用程序网关和密钥保管库创建了一个具有 azure 角色分配的用户管理标识。之后,我 运行 从门户的 CLI 中执行了以下 powershell 命令,但得到了结果错误消息。

PS > Select-AzureRmSubscription -Scope CurrentUser -SubscriptionName "Pay-As-You-Go"
PS > $appgw = Get-AzApplicationGateway -ResourceGroupName "myresourcegroup" -Name "myappgateway"
PS > $secret = Get-AzKeyVaultSecret -VaultName "mykeyvault" -Name "contoso-cert"
PS > $secretId = $secret.Id
PS > set-AzApplicationGatewaySSLCertificate -Name "contoso-cert" -ApplicationGateway $appgw -KeyVaultSecretId $secretId
PS > Set-AzApplicationGateway -ApplicationGateway $appgw
Set-AzApplicationGateway: Application Gateway 'myappgateway' requires a 'UserAssigned' Identity with 'get' access policy to the referenced KeyVault. Please provide so by using top level 'Identity' property.

为什么我无法使用 powershell 更新基本侦听器上的证书?我可以尝试其他选项来设置证书吗?请帮助

很确定我在 App Gateway 中查看通配符侦听器预览时遇到了同样的问题。

我没有以目前可以为您尝试的方式配置测试环境,但我相信解决方案是创建一个具有任意 FQDN 的多站点 HTTPS 侦听器(而不是基本侦听器) ,并使用与您要更新的证书相同的 SSL 证书。然后使用该侦听器更新 SSL 证书(您甚至可以在创建侦听器的同时更新证书)。

让我们知道你过得怎么样!