Breadcrumbs

Azure Application Gateway Beispielkonfiguration als Reverse Proxy in der IGEL UMS mit SSL Offloading

Dieser Artikel beschreibt die Konfigurationen der IGEL Universal Management Suite (UMS) sowie des Azure Application Gateway, die für SSL Offloading erforderlich sind.

Die allgemeine Kompatibilität wurde mit den in diesem Artikel beschriebenen Konfigurationen getestet. Es kann auch andere Möglichkeiten zur Konfiguration geben.
Da der Reverse Proxy eine externe Software ist, können wir keinen vollständigen Support für jede Version bereitstellen.

Voraussetzungen

Die Anforderungen an UMS und Zertifikatskonfiguration für einen Reverse Proxy sind in UMS für die Integration eines Reverse Proxy mit SSL Offloading konfigurieren zusammengefasst.

Prozessübersicht

Die Konfigurationsaufgaben für den Reverse Proxy sind:

  • UMS- / ICG-Konfiguration und Zertifikatexport wie unter UMS für die Integration eines Reverse Proxy mit SSL Offloading konfigurieren beschrieben.

  • Erstellen des Azure Application Gateway

  • Erstellen von Routing-Regeln für die Onboarding-Verbindung

  • Erstellen von Routing-Regeln für die WebSocket-Verbindung

  • Überprüfung der Network Security Group

  • Einrichten der Mutual Authentication für die WebSocket-Verbindung

  • Konfiguration von Rewrite-Regeln für die Weiterleitung des Client-Zertifikats

  • Fehlerbehebung bei Zertifikatsfehlern (falls erforderlich)

Azure Application Gateway erstellen

  1. Weisen Sie das korrekte Virtual network und Subnet zu.

    image-2024-3-25_11-22-8-1.png



  2. Geben Sie die Frontend-IP-Adresse an.

    image-2024-3-25_11-23-5-1.png



  3. Fügen Sie einen Backend-Pool mit der UMS-Adresse hinzu. Verwenden Sie den UMS / ICG FQDN oder die IP-Adresse.

    image-2024-3-25_11-23-25-1.png

Routing-Regel für die Onboarding-Verbindung erstellen

  1. Konfigurieren Sie einen Listener:

    • Setzen Sie das Protocol auf HTTPS.

    • Setzen Sie die Public IP-Adresse.

    • Der empfohlene Portwert ist 443.

      image-2024-3-25_11-24-17-1.png



  2. Wählen Sie die in UMS für die Integration eines Reverse Proxy mit SSL Offloading konfigurieren erstellten PFX-Datei aus und geben Sie das entsprechende Passwort ein.

  3. Konfigurieren Sie die Backend-Ziele. Der bereits erstellte Backend-Pool kann ausgewählt werden, anschließend müssen die Backend-Einstellungen ergänzt werden.

    image-2024-3-25_11-24-37-1.png



  4. Unter Backend-Einstellungen hinzufügen setzen Sie das Backend-Protokoll auf HTTPS und tragen den UMS Web-Port als Backend-Port ein.

    image-2024-3-25_11-27-27-1.png



  5. Wählen Sie das in UMS für die Integration eines Reverse Proxy mit SSL Offloading konfigurieren exportierte UMS Web-/Cloud Gateway Root-Zertifikat aus.

  6. Setzen Sie den Wert für Request time-out (seconds) auf mindestens 130 Sekunden.

  7. Stellen Sie sicher, dass Override with new host name aktiviert ist, und setzen Sie den Host name override.

    image-2024-3-25_11-27-59-1.png



  8. Setzen Sie eine Custom probe.

    image-2024-3-25_11-29-5-1.png


Custom Probe Einstellungen:
image-2024-3-25_11-29-31-1.png

Routing-Regel für die WebSocket-Verbindung erstellen

  1. Konfigurieren Sie einen Listener:

    • Setzen Sie das Protocol auf HTTPS.

    • Setzen Sie die Public IP-Adresse.

    • Der empfohlene Portwert ist 8443.

      image-2024-3-25_11-30-2-1.png



  2. Wählen Sie die in UMS für die Integration eines Reverse Proxy mit SSL Offloading konfigurieren erstellten PFX-Datei aus und geben Sie das entsprechende Passwort ein.

  3. Verwenden Sie die gleichen Backend-Einstellungen wie für die Onboarding-Verbindung.

    image-2024-3-25_11-30-19-1.png

Network Security Group überprüfen

  1. Öffnen Sie die für das Gateway-Netzwerk verwendete Network Security Group und prüfen Sie, ob die verwendeten Ports aufgeführt sind.

    image-2024-3-25_16-8-4-1.png



  2. Wenn sie nicht aufgeführt sind, fügen Sie diese hinzu.

Mutual Authentication für die WebSocket-Verbindung konfigurieren

Die Mutual Authentication kann im Azure Application Gateway über SSL Profiles konfiguriert werden:

  1. Fügen Sie unter SSL settings ein SSL Profile hinzu.

  2. Im Abschnitt Client Authentication wird das EST CA-Zertifikat benötigt, das aus der UMS exportiert wurde.

    image-2024-3-25_16-10-33-1.png



  3. Weisen Sie das SSL Profile dem WebSocket-Listener zu, nicht dem Onboarding-Listener!
    image-2024-3-25_16-10-50-1.png

Rewrite für die Weiterleitung des Client-Zertifikats hinzufügen

Das Client-Zertifikat muss an die UMS weitergeleitet werden. Das Application Gateway kann so konfiguriert werden, dass dies über eine Rewrite-Definition erfolgt.

  1. Erstellen Sie ein Rewrite-Set und weisen Sie es der entsprechenden Regel zu.

  2. Fügen Sie die folgende Rewrite-Regel hinzu:

image-2024-3-25_16-11-10-1.png

Fehlerbehebung bei Zertifikatsfehlern: Common Name stimmt nicht überein

Das UMS- oder ICG-Zertifikat muss den FQDN des Backend-Servers als Common Name enthalten. Dieser Wert ist für die Verbindung des Azure Application Gateway zum Backend zwingend erforderlich. Wenn das Zertifikat nicht korrekt ist, tritt der folgende Fehler auf.

image-2024-3-25_16-11-32-1.png

Wenn der Common Name nicht angepasst werden kann, ist es möglich, den Hostnamen der UMS / des ICG in den Backend-Einstellungen anzupassen. In diesem Fall muss eine Custom Probe mit dem entsprechenden Hostname-Wert definiert werden.

image-2024-3-25_16-11-46-1.png


Nächster Schritt: Über Reverse Proxy verbundene Geräte verwalten

Eine Liste nützlicher Funktionen, die die Verwaltung von über einen Reverse Proxy verbundenen Geräten unterstützen, finden Sie unter Nützliche IGEL UMS Funktionen für die Verwaltung von über Reverse Proxy verbundenen Geräten.