تعيين مجال مخصص موجود إلى Azure Spring Apps

  • مقالة

إشعار

يعد Azure Spring Apps هو الاسم الجديد لخدمة Azure Spring Cloud. رغم أن الخدمة تحمل اسماً جديداً، سترى الاسم القديم في بعض الأماكن لفترة من الوقت بينما نعمل على تحديث الأصول مثل لقطات الشاشة، ومقاطع الفيديو، والرسوم التخطيطية.

تنطبق هذه المقالة على: ✔️ Java ✔️ C#‎

تنطبق هذه المقالة على: ✔️ Standard ✔️ Enterprise

خدمة اسم المجال (DNS) هي تقنية لتخزين أسماء عقد الشبكة عبر شبكة اتصال. تعين هذه المقالة مجالا، مثل www.contoso.com، باستخدام سجل CNAME. يؤمن المجال المخصص مع شهادة ويظهر كيفية فرض أمان طبقة النقل (TLS)، المعروف أيضا باسم طبقة مآخذ التوصيل الآمنة (SSL).

تقوم الشهادات بتشفير حركة مرور الويب. يمكن تخزين شهادات TLS/SSL هذه في Azure Key Vault.

المتطلبات الأساسية

  • اشتراك Azure. في حال لم يكن لديك اشتراك Azure، أنشئ حسابًا مجانيًا قبل البدء.
  • (اختياري) إصدار Azure CLI 2.45.0 أو أعلى. استخدم الأمر التالي لتثبيت ملحق Azure Spring Apps: az extension add --name spring
  • تطبيق تم توزيعه في Azure Spring Apps (راجع التشغيل السريع: تشغيل تطبيق موجود في Azure Spring Apps باستخدام مدخل Azure، أو استخدم تطبيقًا موجودًا). إذا تم نشر التطبيق الخاص بك باستخدام الخطة الأساسية، فتأكد من الترقية إلى الخطة القياسية.
  • اسم مجال مع حق الوصول إلى سجل DNS لموفر مجال، مثل GoDaddy.
  • شهادة خاصة (أي شهادة موقعة ذاتياً) من موفر جهة خارجية. يجب أن تتطابق الشهادة مع المجال.
  • مثيل منشور من Azure Key Vault. لمزيد من المعلومات، راجع معلومات عن Azure Key Vault.

عناوين IP لإدارة Azure Spring Apps ليست بعد جزءا من خدمات Microsoft Azure الموثوق بها. لذلك، لتمكين Azure Spring Apps من تحميل الشهادات من Key Vault المحمية باتصالات نقطة النهاية الخاصة، يجب إضافة عناوين IP التالية إلى جدار حماية Azure Key Vault:

  • 20.99.204.111
  • 20.201.9.97
  • 20.74.97.5
  • 52.235.25.35
  • 20.194.10.0
  • 20.59.204.46
  • 104.214.186.86
  • 52.153.221.222
  • 52.160.137.39
  • 20.39.142.56
  • 20.199.190.222
  • 20.79.64.6
  • 20.211.128.96
  • 52.149.104.144
  • 20.197.121.209
  • 40.119.175.77
  • 20.108.108.22
  • 102.133.143.38
  • 52.226.244.150
  • 20.84.171.169
  • 20.93.48.108
  • 20.75.4.46
  • 20.78.29.213
  • 20.106.86.34
  • 20.193.151.132

استيراد الشهادة

إعداد ملف الشهادة في PFX (اختياري)

يدعم Azure Key Vault استيراد شهادة خاصة بتنسيق PEM وPFX. إذا لم يعمل ملف PEM الذي حصلت عليه من موفر الشهادة في قسم حفظ الشهادة في Key Vault ، فاتبع الخطوات هنا لإنشاء PFX ل Azure Key Vault.

دمج الشهادات المتوسطة

إذا كان المرجع المصدق الخاص بك يمنحك شهادات متعددة في سلسلة الشهادات، فستحتاج إلى دمج الشهادات بالترتيب.

للقيام بهذه المهمة، افتح كل شهادة تلقيتها في محرر نص.

إنشاء ملف للشهادة المدمجة، mergedcertificate.crt. في محرر نص، انسخ محتوى كل شهادة في هذا الملف. يجب أن يتبع ترتيب شهاداتك الترتيب الوارد في سلسلة الشهادات، بدءًا من شهادتك، وانتهاءً بشهادة الجذر. يبدو مثل المثال التالي:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

شهادة تصدير إلى PFX

قم بتصدير شهادة TLS/SSL المدمجة الخاصة بك باستخدام المفتاح الخاص الذي تم إنشاء طلب الشهادة الخاص بك به.

إذا قمت بإنشاء طلب الشهادة الخاص بك باستخدام OpenSSL، فهذا يعني أنك قمت بإنشاء ملف مفتاح خاص. لتصدير شهادتك إلى PFX، قم بتشغيل الأمر التالي. استبدل العناصر النائبة <private-key-file> و<merged-certificate-file> بالمسارات إلى المفتاح الخاص وملف الشهادة المدمجة.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

عند المطالبة، حدد كلمة مرور التصدير. استخدم كلمة المرور هذه عند تحميل شهادة TLS/SSL إلى Azure Key Vault لاحقا.

إذا كنت تستخدم IIS أو Certreq.exe لإنشاء طلب الشهادة، فقم بتثبيت الشهادة إلى الجهاز المحلي، ثم قم بتصدير الشهادة إلى PFX.

حفظ شهادة في Key Vault

يتطلب الإجراء لاستيراد شهادة الملف المشفر PEM أو PFX أن يكون على القرص، ويجب أن يكون لديك المفتاح الخاص.

استخدم الخطوات التالية لتحميل شهادتك إلى key vault:

  1. انتقل إلى مثيل حاوية المفاتيح لديك.

  2. في جزء التنقل، حدد Certificates.

  3. في القائمة العلوية، حدد إنشاء/استيراد.

  4. في صفحة إنشاء شهادة، حدد استيراد لأسلوب إنشاء الشهادة، ثم قم بتوفير قيمة لاسم الشهادة.

  5. ضمن تحميل ملف الشهادة، انتقل إلى موقع الشهادة وحدده.

  6. ضمن كلمة المرور، إذا كنت تقوم بتحميل ملف شهادة محمي بكلمة مرور، فوفر كلمة المرور هذه هنا. وإلا، اتركها مكانها خالياً. بمجرد استيراد ملف الشهادة بنجاح، يقوم key vault بإزالة كلمة المرور هذه.

  7. حدد إنشاء.

    لقطة شاشة لمربع حوار إنشاء شهادة في مدخل Microsoft Azure.

منح Azure Spring Apps إمكانية الوصول إلى حاوية المفاتيح

تحتاج إلى منح Azure Spring Apps حق الوصول إلى مخزن المفاتيح قبل استيراد الشهادة.

استخدم الخطوات التالية لمنح حق الوصول باستخدام مدخل Microsoft Azure:

  1. انتقل إلى مثيل حاوية المفاتيح لديك.
  2. في جزء التنقل، حدد نهج الوصول.
  3. في القائمة العلوية، حدد Create.
  4. املأ المعلومات، وحدد زر Add ، ثم Create access police.
الإذن السري إذن الشهادة حدد كيان
الحصول على، قائمة الحصول على، قائمة إدارة مجال Azure Spring Apps

إشعار

إذا لم تعثر على "Azure Spring Apps Domain-Management"، فابحث عن "Azure Spring Cloud Domain-Management".

لقطة شاشة لصفحة مدخل Microsoft Azure Add Access Policy مع تحديد Get and List من أذونات Secret ومن أذونات الشهادة.

لقطة شاشة لصفحة Azure portal Create Access Policy مع تحديد إدارة مجال Azure Spring Apps من القائمة المنسدلة Select a principal.

استيراد شهادة إلى Azure Spring Apps

  1. انتقل إلى مثيل Azure Spring Apps.

  2. من جزء التنقل، حدد إعدادات TLS/SSL.

  3. حدد Import key vault certificate.

    لقطة شاشة لمدخل Azure تعرض صفحة إعدادات TLS/SSL مع تمييز زر استيراد شهادة مخزن المفاتيح.

  4. في صفحة تحديد شهادة من Azure، حدد الاشتراك وKey Vault والشهادةمن الخيارات المنسدلة، ثم اختر تحديد.

    لقطة شاشة لمدخل Azure تعرض صفحة تحديد الشهادة من Azure.

  5. في صفحة تعيين اسم الشهادة المفتوحة، أدخل اسم الشهادة، وحدد تمكين المزامنة التلقائية إذا لزم الأمر، ثم حدد تطبيق. لمزيد من المعلومات، راجع قسم شهادة المزامنة التلقائية.

    لقطة شاشة لمربع حوار تعيين اسم الشهادة لمدخل Microsoft Azure.

  6. عند استيراد الشهادة بنجاح، يتم عرضها في قائمة شهادات المفتاح الخاص.

    لقطة شاشة لمدخل Azure تعرض علامة التبويب شهادات المفتاح الخاص.

هام

لتأمين مجال مخصص بهذه الشهادة، تأكد من ربط الشهادة بمجال معين. لمزيد من المعلومات، راجع قسم إضافة ربط SSL.

شهادة المزامنة التلقائية

يتم تجديد الشهادة المخزنة في Azure Key Vault في بعض الأحيان قبل انتهاء صلاحيتها. وبالمثل، قد تتطلب نهج أمان مؤسستك لإدارة الشهادات من فريق DevOps استبدال الشهادات بشهادات جديدة بانتظام. بعد تمكين المزامنة التلقائية لشهادة، تبدأ Azure Spring Apps في مزامنة خزنة المفاتيح الخاصة بك لإصدار جديد بانتظام - عادة كل 24 ساعة. إذا كان هناك إصدار جديد متوفر، تقوم Azure Spring Apps باستيراده، ثم إعادة تحميله لمكونات مختلفة باستخدام الشهادة دون التسبب في أي وقت تعطل. تعرض القائمة التالية المكونات المتأثرة والسيناريوهات ذات الصلة:

عندما تقوم Azure Spring Apps باستيراد شهادة أو إعادة تحميلها، يتم إنشاء سجل نشاط. لمشاهدة سجلات النشاط، انتقل إلى مثيل Azure Spring Apps في مدخل Microsoft Azure وحدد Activity log في جزء التنقل.

إشعار

تعمل ميزة المزامنة التلقائية للشهادة مع الشهادات الخاصة والشهادات العامة المستوردة من Azure Key Vault. هذه الميزة غير متوفرة لشهادات المحتوى، التي يقوم العميل بتحميلها.

يمكنك تمكين ميزة المزامنة التلقائية للشهادة أو تعطيلها عند استيراد شهادة من مخزن المفاتيح إلى Azure Spring Apps. لمزيد من المعلومات، راجع قسم استيراد الشهادة إلى Azure Spring Apps .

يمكنك أيضا تمكين هذه الميزة أو تعطيلها لشهادة تم استيرادها بالفعل إلى Azure Spring Apps.

استخدم الخطوات التالية لتمكين المزامنة التلقائية لشهادة مستوردة أو تعطيلها:

  1. انتقل إلى قائمة شهادات المفتاح الخاص أو شهادات المفتاح العام.

  2. حدد زر علامة الحذف (...) بعد عمود المزامنة التلقائية، ثم حدد إما تمكين المزامنة التلقائية أو تعطيل المزامنة التلقائية.

    لقطة شاشة لمدخل Azure تعرض قائمة شهادات مع فتح قائمة زر علامة الحذف وتحديد خيار تمكين المزامنة التلقائية.

إضافة المجال المخصص

يمكنك استخدام سجل CNAME لتعيين اسم DNS مخصص إلى Azure Spring Apps.

إشعار

السجل A غير معتمد.

إنشاء سجل CNAME

انتقل إلى موفر DNS وأضف سجل CNAME لتعيين مجالك إلى <service-name>.azuremicroservices.io. هنا، <service-name> هو اسم مثيل Azure Spring Apps. نحن ندعم مجال حرف البدل والمجال الفرعي.

بعد إضافة CNAME، تشبه صفحة سجلات DNS المثال التالي:

لقطة شاشة لصفحة سجلات DNS التي تعرض مثيل Azure Spring Apps.

تعيين المجال المخصص إلى تطبيق Azure Spring Apps

إذا لم يكن لديك تطبيق في Azure Spring Apps، فاتبع الإرشادات الواردة في التشغيل السريع: نشر تطبيقك الأول إلى Azure Spring Apps.

الانتقال إلى صفحة التطبيقات.

  1. حدد مجال مخصص.

  2. ثم أضف إضافة المجال المخصص.

    لقطة شاشة لمدخل Azure تعرض صفحة المجال المخصص.

  3. اكتب اسم المجال المؤهل بالكامل الذي قمت بإضافة سجل CNAME له، مثل www.contoso.com. تأكد من تعيين نوع سجل اسم المضيف إلى CNAME (<service-name>.azuremicroservices.io)

  4. حدد تحقق لتمكين الزر إضافة.

  5. حدد إضافة.

    لقطة شاشة لمربع حوار إضافة مجال مخصص لمدخل Microsoft Azure.

يمكن أن يكون لتطبيق واحد مجالات متعددة، ولكن يمكن لمجال واحد فقط تعيين تطبيق واحد. عند تعيين المجال المخصص إلى التطبيق بنجاح، يتم عرضه على جدول المجال المخصص.

لقطة شاشة لمدخل Azure تعرض جدول مجال مخصص.

إشعار

تعني تسمية غير آمن للمجال المخصص أنه غير مرتبط بعد بشهادة SSL. يتلقى أي طلب HTTPS من مستعرض إلى مجالك المخصص خطأ أو تحذيرا.

إضافة ربط SSL

في جدول المجال المخصص، حدد إضافة ربط ssl كما هو موضح في الشكل السابق.

  1. حدد الشهادة أو قم باستيرادها.

  2. حدد حفظ.

    لقطة شاشة لمدخل Azure تعرض جزء ربط TLS/SSL.

بعد إضافة ربط SSL بنجاح، تكون حالة المجال آمنة: سليمة.

لقطة شاشة لربط SSL الذي يظهر حالة المجال سليمة.

افرض HTTPS

بشكل افتراضي، لا يزال بإمكان أي شخص الوصول إلى تطبيقك باستخدام HTTP، ولكن يمكنك إعادة توجيه جميع طلبات HTTP إلى منفذ HTTPS.

في صفحة التطبيق، في التنقل، حدد مجال مخصص. ثم قم بتعيين HTTPS فقط إلى Yes.

لقطة شاشة لربط SSL مع تمييز خيار Https Only.

عند اكتمال العملية، انتقل إلى أي من عناوين URL التي تحمل HTTPS التي تشير إلى تطبيقك. لاحظ أن عناوين URL التي تحمل HTTP لا تعمل.

الخطوات التالية