Certifikáty a App Service Environment

Poznámka

Tento článek se týká App Service Environment verze 3, která se používá s plány izolované verze 2 App Service.

App Service Environment je nasazení Azure App Service, které běží ve vaší virtuální síti Azure. Dá se nasadit pomocí koncového bodu aplikace přístupného z internetu nebo koncového bodu aplikace, který je ve vaší virtuální síti. Pokud nasadíte App Service Environment s koncovým bodem přístupným z internetu, toto nasazení se nazývá externí App Service Environment. Pokud nasadíte App Service Environment s koncovým bodem ve vaší virtuální síti, nazývá se toto nasazení App Service Environment interního nástroje pro vyrovnávání zatížení. Další informace o App Service Environment interního nástroje pro vyrovnávání zatížení najdete v dokumentu Vytvoření a použití interního nástroje pro vyrovnávání zatížení App Service Environment.

Certifikáty aplikací

Aplikace hostované v App Service Environment podporují následující funkce certifikátů orientovaných na aplikace, které jsou k dispozici také ve víceklientských App Service. Požadavky a pokyny pro nahrávání a správu těchto certifikátů najdete v tématu Přidání certifikátu TLS/SSL v Azure App Service.

• Certifikáty SNI
• Hostované certifikáty služby KeyVault

Jakmile certifikát přidáte do aplikace App Service nebo aplikace funkcí, můžete s ním zabezpečit vlastní název domény nebo ho použít v kódu aplikace.

Omezení

App Service spravované certifikáty nejsou podporovány v aplikacích hostovaných v App Service Environment.

Nastavení protokolu TLS

Nastavení TLS můžete nakonfigurovat na úrovni aplikace.

Certifikát privátního klienta

Běžným případem použití je konfigurace aplikace jako klienta v modelu klient-server. Pokud server zabezpečíte pomocí certifikátu privátní certifikační autority, musíte do aplikace nahrát klientský certifikát (soubor .cer ). Následující pokyny načtou certifikáty do úložiště důvěryhodnosti pracovních procesů, na kterých běží vaše aplikace. Certifikát stačí nahrát jenom jednou, abyste ho mohli použít s aplikacemi, které jsou ve stejném plánu App Service.

Poznámka

Certifikáty privátních klientů jsou podporované jenom z vlastního kódu v aplikacích pro kód pro Windows. Certifikáty privátních klientů se mimo aplikaci nepodporují. To omezuje využití ve scénářích, jako je načtení image kontejneru aplikace z registru pomocí privátního certifikátu a ověřování TLS prostřednictvím front-endových serverů pomocí privátního certifikátu.

Pomocí těchto kroků nahrajte certifikát (soubor .cer) do aplikace v App Service Environment. Soubor .cer lze exportovat z certifikátu. Pro účely testování je na konci příklad PowerShellu pro vygenerování dočasného certifikátu podepsaného svým držitelem:

1. Přejděte do aplikace, která potřebuje certifikát v Azure Portal

2. V aplikaci přejděte na Certifikáty . Vyberte Certifikát veřejného klíče (.cer). Vyberte Přidat certifikát. Zadejte název. Vyhledejte a vyberte soubor .cer . Vyberte Nahrát.

3. Zkopírujte kryptografický otisk.

4. Přejděte na Nastavení konfigurační>aplikace. Vytvořte nastavení aplikace WEBSITE_LOAD_ROOT_CERTIFICATES s kryptografickým otiskem jako hodnotou. Pokud máte více certifikátů, můžete je umístit do stejného nastavení odděleného čárkami a bez prázdných znaků jako

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certifikát je dostupný pro všechny aplikace ve stejném plánu služby App Service jako aplikace, která toto nastavení nakonfigurovala, ale všechny aplikace, které jsou závislé na certifikátu privátní certifikační autority, by měly mít nakonfigurované nastavení aplikace, aby nedocházelo k problémům s časováním.

Pokud potřebujete, aby byla dostupná pro aplikace v jiném App Service plánu, musíte operaci nastavení aplikace zopakovat pro aplikace v App Service plánu. Pokud chcete zkontrolovat, že je certifikát nastavený, přejděte do konzoly Kudu a v konzole ladění PowerShellu spusťte následující příkaz:

dir Cert:\LocalMachine\Root

Pokud chcete provést testování, můžete vytvořit certifikát podepsaný svým držitelem a vygenerovat soubor .cer pomocí následujícího Prostředí PowerShell:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certifikát privátního serveru

Pokud vaše aplikace funguje jako server v modelu klient-server, a to buď za reverzním proxy serverem, nebo přímo s privátním klientem a používáte certifikát privátní certifikační autority, musíte do aplikace nahrát certifikát serveru (soubor .pfx ) s úplným řetězem certifikátů a vytvořit vazbu certifikátu k vlastní doméně. Vzhledem k tomu, že infrastruktura je vyhrazená pro App Service Environment, přidá se do úložiště důvěryhodnosti serverů celý řetěz certifikátů. Certifikát stačí nahrát jenom jednou, abyste ho mohli použít s aplikacemi, které jsou ve stejném App Service Environment.

Poznámka

Pokud jste certifikát nahráli před 1. V říjnu 2023 budete muset znovu načíst a znovu propojit certifikát, aby se na servery přidal celý řetěz certifikátů.

Postupujte podle kurzu zabezpečení vlastní domény s protokolem TLS/SSL a nahrajte certifikát s kořenem privátní certifikační autority do aplikace v App Service Environment a vytvořte jeho vazbu.

Další kroky

• Informace o tom, jak používat certifikáty v kódu aplikace