Certifikáty a app Service Environment

Poznámka:

Tento článek se týká služby App Service Environment v3, která se používá s plány izolované služby App Service v2.

App Service Environment je nasazení služby Aplikace Azure, která běží ve vaší virtuální síti Azure. Dá se nasadit pomocí koncového bodu aplikace přístupného z internetu nebo koncového bodu aplikace, který je ve vaší virtuální síti. Pokud nasadíte službu App Service Environment s koncovým bodem přístupným z internetu, nazývá se toto nasazení externí prostředí App Service Environment. Pokud nasadíte službu App Service Environment s koncovým bodem ve virtuální síti, označuje se toto nasazení jako App Service Environment s interním nástrojem pro vyrovnávání zatížení. Další informace o službě App Service Environment s interním nástrojem pro vyrovnávání zatížení najdete v dokumentu Vytvoření a použití služby App Service Environment s interním nástrojem pro vyrovnávání zatížení.

Certifikáty aplikací

Aplikace hostované ve službě App Service Environment podporují následující funkce certifikátů zaměřené na aplikaci, které jsou dostupné také ve službě App Service s více tenanty. Požadavky a pokyny pro nahrávání a správu těchto certifikátů najdete v tématu Přidání certifikátu TLS/SSL ve službě Aplikace Azure Service.

• Certifikáty SNI
• Hostované certifikáty služby KeyVault

Po přidání certifikátu do aplikace služby App Service nebo aplikace funkcí můžete zabezpečit vlastní název domény nebo ho použít v kódu aplikace.

Omezení

Spravované certifikáty služby App Service nejsou podporované v aplikacích hostovaných ve službě App Service Environment.

Nastavení protokolu TLS

Nastavení protokolu TLS můžete nakonfigurovat na úrovni aplikace.

Privátní klientský certifikát

Běžným případem použití je konfigurace aplikace jako klienta v modelu klientského serveru. Pokud server zabezpečíte pomocí certifikátu privátní certifikační autority, musíte do aplikace nahrát klientský certifikát (.cer soubor). Následující pokyny načtou certifikáty do úložiště důvěryhodnosti pracovních procesů, na kterých vaše aplikace běží. Certifikát stačí nahrát jenom jednou, abyste ho mohli použít s aplikacemi, které jsou ve stejném plánu služby App Service.

Poznámka:

Privátní klientské certifikáty se podporují jenom z vlastního kódu v aplikacích s kódem Pro Windows. Privátní klientské certifikáty nejsou podporovány mimo aplikaci. Tím se omezí využití ve scénářích, jako je vyžádání image kontejneru aplikace z registru pomocí privátního certifikátu a ověřování TLS prostřednictvím front-endových serverů pomocí privátního certifikátu.

Podle těchto kroků nahrajte certifikát (.cer soubor) do aplikace ve službě App Service Environment. Soubor .cer je možné exportovat z certifikátu. Pro účely testování existuje příklad PowerShellu na konci pro vygenerování dočasného certifikátu podepsaného svým držitelem:

1. Přejděte do aplikace, která potřebuje certifikát na webu Azure Portal.

2. V aplikaci přejděte na Certifikáty . Vyberte certifikát veřejného klíče (.cer). Vyberte Přidat certifikát. Zadejte název. Vyhledejte soubor .cer a vyberte ho. Vyberte nahrát.

3. Zkopírujte kryptografický otisk.

4. Přejděte do nastavení konfigurační>aplikace. Vytvořte nastavení aplikace WEBSITE_LOAD_ROOT_CERTIFICATES s kryptografickým otiskem jako hodnotou. Pokud máte více certifikátů, můžete je umístit do stejného nastavení odděleného čárkami a bez prázdných znaků.

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certifikát jsou dostupné všemi aplikacemi ve stejném plánu služby App Service jako aplikace, která toto nastavení nakonfigurovala, ale všechny aplikace, které závisí na certifikátu privátní certifikační autority, by měly mít nakonfigurované nastavení aplikace, aby se zabránilo problémům s časováním.

Pokud potřebujete, aby byla dostupná pro aplikace v jiném plánu služby App Service, musíte operaci nastavení aplikace pro aplikace v daném plánu služby App Service zopakovat. Pokud chcete zkontrolovat, jestli je certifikát nastavený, přejděte do konzoly Kudu a v konzole ladění PowerShellu zadejte následující příkaz:

dir Cert:\LocalMachine\Root

Pokud chcete provést testování, můžete vytvořit certifikát podepsaný svým držitelem a vygenerovat soubor .cer pomocí následujícího PowerShellu:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certifikát privátního serveru

Pokud vaše aplikace funguje jako server v modelu klientského serveru, a to buď za reverzním proxy serverem, nebo přímo s privátním klientem a používáte certifikát privátní certifikační autority, musíte nahrát certifikát serveru (soubor .pfx ) s úplným řetězem certifikátů do vaší aplikace a svázat certifikát s vlastní doménou. Vzhledem k tomu, že infrastruktura je vyhrazená pro službu App Service Environment, celý řetěz certifikátů se přidá do úložiště důvěryhodnosti serverů. Certifikát musíte nahrát jenom jednou, abyste ho mohli použít s aplikacemi, které jsou ve stejném prostředí App Service Environment.

Poznámka:

Pokud jste certifikát nahráli před 1. Říjen 2023 bude nutné znovu načíst a znovu propojit certifikát, aby se celý řetěz certifikátů přidal na servery.

Postupujte podle kurzu zabezpečené vlastní domény s protokolem TLS/SSL a nahrajte nebo vytvořte vazbu certifikátu kořenové certifikační autority privátní certifikační autority k aplikaci ve službě App Service Environment.

Další kroky

• Informace o používání certifikátů v kódu aplikace