مشاركة عبر

نظرة عامة على الشهادات لخدمات Azure السحابية (كلاسيكي)

  • مقالة

هام

تم الآن إهمال الخدمات السحابية (الكلاسيكية) لجميع العملاء اعتبارا من 1 سبتمبر 2024. سيتم إيقاف أي عمليات نشر قيد التشغيل الحالية وإيقاف تشغيلها بواسطة Microsoft وسيتم فقدان البيانات بشكل دائم بدءا من أكتوبر 2024. ينبغي أن تستخدم عمليات النشر الجديدة نموذج النشر الجديد القائم على Azure Resource Manager ‏‏Azure Cloud Services (الدعم الموسع).

يتم استخدام الشهادات في Azure للخدمات السحابية (شهادات الخدمة) والمصادقة مع إدارة API (شهادات الإدارة). تقدم هذه المقالة نظرة عامة على كلا النوعين من الشهادات، وكيفية إنشائها ونشرها في Azure.

الشهادات المستخدمة في Azure هي شهادات x.509 v3. يمكنهم التوقيع الذاتي، أو يمكن لشهادة أخرى موثوق بها توقيعها. يتم توقيع الشهادة ذاتيا عندما يوقعها منشئها. الشهادات الموقعة ذاتيا غير موثوق بها بشكل افتراضي، ولكن يمكن لمعظم المستعرضات تجاهل هذه المشكلة. يجب عليك استخدام الشهادات الموقعة ذاتيا فقط عند تطوير واختبار خدمات السحابة الخاصة بك.

يمكن أن تحتوي الشهادات المستخدمة من قبل Azure على مفتاح عام. تحتوي الشهادات على بصمة إبهام توفر وسيلة لتعريفها بطريقة لا لبس فيها. يتم استخدام بصمة الإبهام هذه في ملف تكوين Azure لتحديد الشهادة التي يجب أن تستخدمها خدمة مجموعة النظراء.

إشعار

لا تقبل خدمات السحابة Azure شهادة مشفرة AES256-SHA256.

ما هي شهادات الخدمة؟

يتم إرفاق شهادات الخدمة بالخدمات السحابية وتمكين الاتصال الآمن من وإلى الخدمة. على سبيل المثال، إذا قمت بنشر دور ويب، فقد تحتاج إلى توفير شهادة يمكنها مصادقة نقطة نهاية HTTPS مكشوفة. يتم نشر شهادات الخدمة المعرفة في تعريف الخدمة تلقائياً إلى الجهاز الظاهري الذي يقوم بتشغيل مثيل لدورك.

يمكنك تحميل شهادات الخدمة إلى Azure إما باستخدام مدخل Microsoft Azure أو باستخدام طراز النشر الكلاسيكي. ترتبط شهادات الخدمة بخدمة سحابية معينة. يقوم ملف تعريف الخدمة بتعيينها إلى عملية نشر.

يمكن إدارة شهادات الخدمة بشكل منفصل عن خدماتك، وقد يديرها أفراد مختلفون. على سبيل المثال، قد يقوم المطور بتحميل حزمة خدمة تشير إلى شهادة قام مدير تكنولوجيا المعلومات بتحميلها مسبقا إلى Azure. يمكن لمدير تكنولوجيا المعلومات إدارة هذه الشهادة وتجديدها (تغيير تكوين الخدمة) دون الحاجة إلى تحميل حزمة خدمة جديدة. التحديث دون حزمة خدمة جديدة ممكن لأن الاسم المنطقي واسم المخزن وموقع الشهادة موجود في ملف تعريف الخدمة وأثناء تحديد بصمة إبهام الشهادة في ملف تكوين الخدمة. لتحديث الشهادة، من الضروري تحميل شهادة جديدة وتغيير قيمة بصمة الإبهام في ملف تكوين الخدمة.

إشعار

تحتوي مقالة الأسئلة الشائعة حول الخدمات السحابية - التكوين والإدارة على بعض المعلومات المفيدة حول الشهادات.

ما هي شهادات الإدارة؟

تسمح لك شهادات الإدارة بالمصادقة مع طراز النشر الكلاسيكي. تستخدم العديد من البرامج والأدوات (مثل Visual Studio أو Sdk Azure) هذه الشهادات لأتمتة تكوين ونشر خدمات Azure المختلفة. هذه الشهادات غير مرتبطة بالخدمات السحابية.

تحذير

انتبه! تسمح هذه الأنواع من الشهادات لأي شخص يصادق عليها بإدارة الاشتراك المقترن به.

القيود

هناك حد 100 شهادة إدارة لكل اشتراك. هناك أيضا حد 100 شهادة إدارة لجميع الاشتراكات ضمن معرف مستخدم مسؤول خدمة معين. إذا تم استخدام معرف المستخدم لمسؤول الحساب بالفعل لإضافة 100 شهادة إدارة وكانت هناك حاجة إلى المزيد من الشهادات، يمكنك إضافة مسؤول مشارك لإضافة المزيد من الشهادات.

بالإضافة إلى ذلك، لا يمكن استخدام شهادات الإدارة مع اشتراكات Cloud Solution Provider (CSP) حيث إن اشتراكات CSP تدعم فقط نموذج توزيع Azure Resource Manager وشهادات الإدارة التي تستخدم نموذج التوزيع الكلاسيكي. راجع Azure Resource Manager مقابل طراز النشر الكلاسيكي و"مصادقة التفاهم" مع SDK Azure لـ .NET للحصول على مزيد من المعلومات حول الخيارات الخاصة بك للاشتراكات CSP.

إنشاء شهادة موقعة ذاتيا جديدة

يمكنك استخدام أي أداة متاحة لإنشاء شهادة موقعة ذاتيا طالما أنها تلتزم بهذه الإعدادات:

  • شهادة X.509.

  • يحتوي على مفتاح عمومي.

  • تم إنشاؤها لتبادل المفاتيح (ملف.pfx).

  • يجب أن يتطابق اسم الموضوع مع المجال المستخدم للوصول إلى خدمة مجموعة النظراء.

    لا يمكنك الحصول على شهادة TLS/SSL للمجال cloudapp.net (أو أي مجال متعلق ب Azure)؛ يجب أن يتطابق اسم موضوع الشهادة مع اسم المجال المخصص المستخدم للوصول إلى التطبيق الخاص بك. على سبيل المثال، contoso.net، وليس contoso.cloudapp.net.

  • الحد الأدنى للتشفير 2048 بت.

  • شهادة الخدمة فقط: يجب أن تكون الشهادة من جانب العميل موجودة في مخزن الشهادات الشخصية.

هناك طريقتان سهلة لإنشاء شهادة على Windows، مع أداة makecert.exe المساعدة، أو IIS.

Makecert.exe

تم إيقاف هذه الأداة المساعدة ولم تعد موثقة هنا. لمزيد من المعلومات، راجع مقالة شبكة مطوري Microsoft (MSDN).

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

إشعار

إذا كنت تريد استخدام الشهادة مع عنوان IP بدلاً من مجال، فاستخدم عنوان IP في المعلمة -DnsName.

إذا كنت تريد استخدام هذه الشهادة مع مدخل الإدارة، فقم بتصديرها إلى ملف cer.:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

خدمات معلومات الإنترنت (IIS)

هناك العديد من الصفحات على الإنترنت التي تغطي كيفية إنشاء شهادات باستخدام IIS، مثل متى تستخدم شهادة IIS موقعة ذاتيا.

Linux

الخطوات السريعة: إنشاء واستخدام زوج مفاتيح SSH العام والخاص لأجهزة Linux الظاهرية في Azure يصف كيفية إنشاء شهادات باستخدام SSH.

الخطوات التالية

قم بتحميل شهادة الخدمة إلى مدخل Microsoft Azure.

قم بتحميل شهادة API للإدارة إلى مدخل Microsoft Azure.