<h1 id="%E3%83%A2%E3%83%81%E3%83%99">
<a class="header-anchor-link" href="#%E3%83%A2%E3%83%81%E3%83%99" aria-hidden="true"></a> モチベ</h1>
<ul>
<li>
<a href="https://zenn.dev/microsoft/articles/793b43673a7a32" target="_blank">この前の記事</a>でApplication GatewayにHTTPSリスナーを設けてWebサイトをHTTPSで公開するという検証をした
<ul>
<li>ただ、自己署名証明書を利用しておりあくまで検証用という感じ</li>
</ul>
</li>
<li>AzureにはApp Service証明書というサービスがあり、証明書を発行できる</li>
<li>今回はこちらを利用して正式なHTTPS化対応をしていきたい</li>
</ul>
<h1 id="app-service-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#app-service-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E4%BD%9C%E6%88%90" aria-hidden="true"></a> App Service 証明書の作成</h1>
<ul>
<li>
<p>Azure Portalにて「証明書」と検索<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--pm70Fzwj--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/dcdcdc85969049c0c28064d1.png%3Fsha%3D770d80935e5aa972d10ed66a7ef42ecdd3817ad0" alt="証明書" loading="lazy" class="md-img"></p>
</li>
<li>
<p>画面に従って作成</p>
<ul>
<li>作成時に指定したドメインと、<code>www.&lt;ドメイン名&gt;</code>がその証明書で証明される</li>
</ul>
</li>
<li>
<p>作成後、リソースを開き「証明書の構成」の手順に従い利用準備をしていく<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--MJPzFpRc--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/ca449ac9a6f3d736fbf080a7.png%3Fsha%3D871383149594e7ff4ad848ad7f394b13c2e9440e" loading="lazy" class="md-img"></p>
</li>
</ul>
<h2 id="%E6%89%8B%E9%A0%86%EF%BC%91%EF%BC%9A%E6%A0%BC%E7%B4%8D">
<a class="header-anchor-link" href="#%E6%89%8B%E9%A0%86%EF%BC%91%EF%BC%9A%E6%A0%BC%E7%B4%8D" aria-hidden="true"></a> 手順１：格納</h2>
<ul>
<li>証明書を格納するKey Vaultが必要になるため、新規作成するか既存のものを選択する。今回は画面に従って新規作成する<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--R17d1e_w--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/d49348769570dee2c84fac5f.png%3Fsha%3D227b5e53b2dacb94f6c953ebb6de483c9b67027f" loading="lazy" class="md-img">
</li>
<li>手順１が完了したことを確認し、手順２へ<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--A4gxotCf--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/822c1f7220a44e335a9fe012.png%3Fsha%3Dce8ed703f2bb24a9cc502b5682b197f4ad8ae704" loading="lazy" class="md-img">
</li>
</ul>
<h2 id="%E6%89%8B%E9%A0%86%EF%BC%92%EF%BC%9A%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%AE%E6%A4%9C%E8%A8%BC">
<a class="header-anchor-link" href="#%E6%89%8B%E9%A0%86%EF%BC%92%EF%BC%9A%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%AE%E6%A4%9C%E8%A8%BC" aria-hidden="true"></a> 手順２：ドメインの検証</h2>
<ul>
<li>App Service証明書を作成する際に入力したドメインをきちんと保有しているかの確認</li>
<li>いくつか確認方法があるため環境に適した方法を選択<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--Bzfw-qUL--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/526c2695dc68f3394f473a12.png%3Fsha%3D6bfb30a5440cda341188bc066b41f285d6eca6a0" loading="lazy" class="md-img">
</li>
<li>手元の環境ではApp ServiceドメインをAzureから購入しているため、「ドメインの検証」からそのまま検証できるはずだがAzure Portal側のエラーなのかうまくいかなかったため「手動で検証」を実施</li>
<li>特定のTXTレコードをApp Serviceドメインのルートドメインに登録する</li>
<li>登録し、数分待つと検証が完了する<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--gyYgDzl1--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/6b3361a5da5897007089876a.png%3Fsha%3D1ee8fa805f89d506b2b7a6108c595ff324425b65" loading="lazy" class="md-img">
</li>
<li>手順２が完了したことを確認する<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--UHBCju2u--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/4824b25fa0bf5d11a636a5da.png%3Fsha%3Dc8c80de09e6e08a852e264fe702c9b9112d044b4" loading="lazy" class="md-img">
</li>
<li>手順３のチェックボックスは、作成した証明書が利用されたタイミングで自動的にチェックされるため、証明書リソース上での操作は特に不要</li>
</ul>
<h1 id="application-gateway%E3%81%B8%E3%81%AE%E9%96%A2%E9%80%A3%E4%BB%98%E3%81%91">
<a class="header-anchor-link" href="#application-gateway%E3%81%B8%E3%81%AE%E9%96%A2%E9%80%A3%E4%BB%98%E3%81%91" aria-hidden="true"></a> Application Gatewayへの関連付け</h1>
<p>上記で作成した証明書を関連付けていく</p>
<ul>
<li>
<p><s>前回作成したApplication Gatewayリソースの「リスナー」から「Listener TLS certificates」を開く(これは最近Previewになった、複数の証明書管理のためのビュー)</s><br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--u7ge7Zpx--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/f78f0c397dd241ce10f77c1a.png%3Fsha%3D4f0b9b5150d352a509ed909ca7122088c2f94cbd" loading="lazy" class="md-img"></p>
</li>
<li>
<p><s>「証明書を追加する」から「キーコンテナーから証明書を取得する」を選択し、先ほどのキーコンテナーを選択</s></p>
</li>
<li>
<p><s>ここで、マネージドIDに対する権限エラーが発生してしまうため、Key Vaultリソース上のIAM設定を変更しに行く</s><br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--5RGiInJI--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/4588dcc6eae28511c88a0d6f.png%3Fsha%3D8206c94ff2d7dc0ea0725d490277409b8158debc" loading="lazy" class="md-img"></p>
</li>
<li>
<p><s>証明書の構成中に作成したKey Vaultのアクセス許可モデルが「コンテナーのアクセスポリシー」となっているため、RBACではなく「アクセスポリシー」で制御する</s><br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--ot_UzYyR--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/0b054aef57b139302783a498.png%3Fsha%3Da07e7b9c2cc2f156f904216c27318f4eede2de0d" loading="lazy" class="md-img"></p>
</li>
<li>
<p><s>シークレットと証明書の取得権限をマネージドIDに付与</s></p>
</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<ul>
<li>
<p>ここまでやって、Application Gateway側で対象の証明書が全然出現しないためおかしいと思い、色々と試しているうちにApp Service証明書というもの自体の認識が間違っていることに気付いた</p>
</li>
<li>
<p>App Service証明書はKey Vaultと連携させるのでその証明書の実体がKey Vaultの「証明書」に格納されるのかと思っていたが、そうではない</p>
</li>
<li>
<p>証明書の実体は「シークレット」に含まれ、利用する際にデプロイされる、もしくはエクスポートして利用する</p>
</li>
<li>
<p>そのため、App Service証明書をKey Vaultと連携させると、証明書のデプロイ・エクスポートに必要なシークレットのみが発行される</p>
</li>
<li>
<p>Application GatewayでこのApp Service証明書を利用するには、エクスポートしてインポートするという手間があった(場合によってはこっちの方が分かり易い)が、Application Gateway v2を利用することでエクスポートすることなく利用できる(ただし、GUI非対応)</p>
</li>
</ul>
<p><a href="https://azure.github.io/jpazpaas/2020/09/23/how-to-export-appservice-certificate.html" target="_blank" rel="nofollow noopener noreferrer">https://azure.github.io/jpazpaas/2020/09/23/how-to-export-appservice-certificate.html</a></p>
</div></aside>
<h2 id="%E6%B0%97%E3%82%92%E5%8F%96%E3%82%8A%E7%9B%B4%E3%81%97%E3%81%A6">
<a class="header-anchor-link" href="#%E6%B0%97%E3%82%92%E5%8F%96%E3%82%8A%E7%9B%B4%E3%81%97%E3%81%A6" aria-hidden="true"></a> 気を取り直して</h2>
<p>下記サポートブログに記載の手順で、証明書をエクスポートせずApplication Gatewayで利用する</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__3f3450c31146e" src="https://embed.zenn.studio/card#zenn-embedded__3f3450c31146e" data-content="https%3A%2F%2Fazure.github.io%2Fjpazpaas%2F2022%2F09%2F16%2FHow-to-import-ASC-to-AppGW.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://azure.github.io/jpazpaas/2022/09/16/How-to-import-ASC-to-AppGW.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://azure.github.io/jpazpaas/2022/09/16/How-to-import-ASC-to-AppGW.html</a></p>
<ul>
<li>Application Gateway用のマネージドIDを作成<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s---Sm4JoB_--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/17691bc5d16a19d57f1c9f06.png%3Fsha%3D58e2e660de9d2bb34cc2a173155e639493b25520" loading="lazy" class="md-img">
</li>
<li>マネージドIDにKey Vaultのシークレットへのアクセスポリシーを設定<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s---p1v7Avn--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8f40046e1389e768a3b40455.png%3Fsha%3D0f75d36e9784be84680b665332676d5b7016a3ab" loading="lazy" class="md-img">
</li>
</ul>
<p>ここからはAzure Portalでできない操作が含まれるためAzure Cloud Shellで実行する</p>
<ul>
<li>対象Application Gatewayの取得</li>
</ul>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell"><span class="token function">PS</span> &gt; <span class="token variable">$appgwname</span> = <span class="token string">'appgw-tls-apache'</span>
<span class="token function">PS</span> &gt; <span class="token variable">$rgname</span> = <span class="token string">'20230414-appgw-TLS'</span>       
<span class="token function">PS</span> &gt; <span class="token variable">$appgw</span> = <span class="token function">Get-AzApplicationGateway</span> <span class="token operator">-</span>Name <span class="token variable">$appgwname</span> <span class="token operator">-</span>ResourceGroupName <span class="token variable">$rgname</span>    
</code></pre></div><ul>
<li>マネージドIDをApplication Gatewayへ割り当て</li>
</ul>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell"><span class="token function">PS</span> &gt; <span class="token variable">$midname</span> = <span class="token string">'mid-appgw-tls'</span>                   
<span class="token function">PS</span> &gt; <span class="token variable">$subscriptionId</span> = <span class="token string">'&lt;place-holder&gt;'</span> 
<span class="token function">PS</span> &gt; <span class="token function">Set-AzApplicationGatewayIdentity</span> <span class="token operator">-</span>ApplicationGateway <span class="token variable">$appgw</span> <span class="token operator">-</span>UserAssignedIdentityId <span class="token string">"/subscriptions/${subscriptionId}/resourceGroups/${rgname}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/${midname}"</span>
</code></pre></div><ul>
<li>Key Vault内のシークレットの取得</li>
</ul>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell"><span class="token function">PS</span> &gt; <span class="token variable">$secret</span> = <span class="token function">Get-AzKeyVaultSecret</span> <span class="token operator">-</span>VaultName <span class="token string">"kv-cert-msext
"</span> <span class="token operator">-</span>Name <span class="token string">"&lt;place-holder&gt;"</span>
</code></pre></div><ul>
<li>Application GatewayにKey Vaultに格納されたApp Service証明書を追加</li>
</ul>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">
<span class="token function">PS</span> &gt; <span class="token variable">$secretId</span> = <span class="token variable">$secret</span><span class="token punctuation">.</span>Id<span class="token punctuation">.</span>Replace<span class="token punctuation">(</span><span class="token variable">$secret</span><span class="token punctuation">.</span>Version<span class="token punctuation">,</span> <span class="token string">""</span><span class="token punctuation">)</span> 
<span class="token function">PS</span> &gt;<span class="token function">Add-AzApplicationGatewaySslCertificate</span> <span class="token operator">-</span>KeyVaultSecretId <span class="token variable">$secretId</span> <span class="token operator">-</span>ApplicationGateway <span class="token variable">$appgw</span> <span class="token operator">-</span>Name <span class="token variable">$secret</span><span class="token punctuation">.</span>Name

</code></pre></div><ul>
<li>今までの変更の適用</li>
</ul>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell"><span class="token function">PS</span> &gt; <span class="token function">Set-AzApplicationGateway</span> <span class="token operator">-</span>ApplicationGateway <span class="token variable">$appgw</span>

</code></pre></div><h2 id="application-gateway%E5%81%B4">
<a class="header-anchor-link" href="#application-gateway%E5%81%B4" aria-hidden="true"></a> Application Gateway側</h2>
<ul>
<li>
<p>確かに証明書が追加されている<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--lGpcrbw8--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/96780ffed38c51fe1484c2e0.png%3Fsha%3D5bbe83025627219f4cdb7f10d2a723565d3ea221" loading="lazy" class="md-img"></p>
</li>
<li>
<p>以前のリスナーに関連付けている証明書を入れ替える<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--H9CgmRpC--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/47c520218e53ee9a6e001a85.png%3Fsha%3Da299c3038c46b9d9a12727843fdb0c12672bc078" loading="lazy" class="md-img"></p>
</li>
</ul>
<h2 id="%E5%AE%9F%E9%9A%9B%E3%81%ABapplication-gateway%E3%81%AE%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%E3%81%B8%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%97%E3%81%A6%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E5%AE%9F%E9%9A%9B%E3%81%ABapplication-gateway%E3%81%AE%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89%E3%81%B8%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%97%E3%81%A6%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 実際にApplication Gatewayのフロントエンドへアクセスして確認</h2>
<ul>
<li>きちんと保護されている！（これが見たかった）</li>
<li>Application GatewayのフロントIPのDNS構成をwww.&lt;証明書のドメイン&gt;に変更しておく</li>
<li>そうしないと証明できない<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--78C_6PTi--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/54e2b3b76514f5e84318e938.png%3Fsha%3Dc6543e5e0ae9f079ab092dbb570a47ba10770f65" loading="lazy" class="md-img">
</li>
</ul>
<h2 id="%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%9B%E3%81%9A%E3%81%AB%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AE%E3%83%A1%E3%83%AA%E3%83%83%E3%83%88">
<a class="header-anchor-link" href="#%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%9B%E3%81%9A%E3%81%AB%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AE%E3%83%A1%E3%83%AA%E3%83%83%E3%83%88" aria-hidden="true"></a> エクスポートせずに利用することのメリット</h2>
<ul>
<li>証明書の更新が不要になる</li>
</ul>
<blockquote>
<p>pplication Gateway と App Service 証明書を直接紐づけることで、更新された App Service 証明書が Key Vault に格納されていた場合、Application Gateway に関連付けられている App Service 証明書も自動的に更新された証明書に置き換えられます。 これは Application Gateway が 4 時間ごとに Key Vault を参照し、Key Vault に格納された App Service 証明書の更新バージョンを取得するためです。</p>
</blockquote>
<blockquote>
<p>一方で Key Vault に格納された App Service 証明書をエクスポートした後に Application Gateway にインポートした場合には、Key Vault に格納された App Service 証明書が更新されたとしても、Application Gateway の App Service 証明書は自動で更新されません。 これは、Key Vault からエクスポートされた App Service 証明書は Key Vault に格納された App Service 証明書を直接参照しないためです。</p>
</blockquote>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__bd6a828eb75a2" src="https://embed.zenn.studio/card#zenn-embedded__bd6a828eb75a2" data-content="https%3A%2F%2Fjpazpaas.github.io%2Fblog%2F2022%2F09%2F16%2FHow-to-import-ASC-to-AppGW.html%23application-gateway-%25E3%2581%25AB%25E3%2581%258A%25E3%2581%2584%25E3%2581%25A6-app-service-%25E8%25A8%25BC%25E6%2598%258E%25E6%259B%25B8%25E3%2581%25AE%25E6%259B%25B4%25E6%2596%25B0%25E4%25BD%259C%25E6%25A5%25AD%25E3%2581%258C%25E4%25B8%258D%25E8%25A6%2581%25E3%2581%25A8%25E3%2581%25AA%25E3%2582%258B%25E7%2590%2586%25E7%2594%25B1" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://jpazpaas.github.io/blog/2022/09/16/How-to-import-ASC-to-AppGW.html#application-gateway-%E3%81%AB%E3%81%8A%E3%81%84%E3%81%A6-app-service-%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E6%9B%B4%E6%96%B0%E4%BD%9C%E6%A5%AD%E3%81%8C%E4%B8%8D%E8%A6%81%E3%81%A8%E3%81%AA%E3%82%8B%E7%90%86%E7%94%B1" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://jpazpaas.github.io/blog/2022/09/16/How-to-import-ASC-to-AppGW.html#application-gateway-において-app-service-証明書の更新作業が不要となる理由</a></p>
<h1 id="%E3%81%8A%E3%82%8F%E3%82%8A">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A" aria-hidden="true"></a> おわり</h1>
<ul>
<li>設定周りが結構面倒だなと思いつつ、Azure上だけで証明書の管理・自動更新含めて完結するのは便利かも</li>
<li>証明書持ち込んでやったほうが、自動更新はできないけど直感的にできて楽かもなという印象</li>
</ul>


App Service証明書を利用してApplication GatewayのHTTPSリスナーを構成する

実際にApplication Gatewayのフロントエンドへアクセスして確認

エクスポートせずに利用することのメリット

Discussion