Přehled certifikátů pro Azure Cloud Services (klasické)
Důležité
Služba Cloud Services (Classic) je teď pro nové zákazníky zastaralá a bude vyřazena 31. srpna 2024 pro všechny zákazníky. Nová nasazení by měla používat nový model nasazení založený na Azure Resource Manageru na Azure Cloud Services (rozšířená podpora).
Certifikáty se používají v Azure pro cloudové služby (certifikáty služeb) a k ověřování pomocí rozhraní API pro správu (certifikátů pro správu). Tento článek poskytuje obecný přehled obou typů certifikátů, jak je vytvořit a nasadit do Azure.
Certifikáty používané v Azure jsou certifikáty x.509 v3. Můžou je podepsat sami nebo je může podepsat jiný důvěryhodný certifikát. Certifikát je podepsaný svým držitelem, když ho autor podepíše. Certifikáty podepsané svým držitelem nejsou ve výchozím nastavení důvěryhodné, ale většina prohlížečů může tento problém ignorovat. Certifikáty podepsané svým držitelem byste měli používat jenom při vývoji a testování cloudových služeb.
Certifikáty používané Azure můžou obsahovat veřejný klíč. Certifikáty mají kryptografický otisk, který poskytuje prostředky k jejich jednoznačné identifikaci. Tento kryptografický otisk se používá v konfiguračním souboru Azure k identifikaci certifikátu, který má cloudová služba používat.
Poznámka:
Azure Cloud Services nepřijímá šifrovaný certifikát AES256-SHA256.
Co jsou certifikáty služeb?
Certifikáty služeb jsou připojeny ke cloudovým službám a umožňují bezpečnou příchozí i odchozí komunikaci se službou. Pokud jste například nasadili webovou roli, měli byste zadat certifikát, který může ověřit vystavený koncový bod HTTPS. Certifikáty služeb definované v definici služby se automaticky nasazují na virtuální počítač, na kterém běží instance vaší role.
Certifikáty služeb můžete do Azure nahrát pomocí webu Azure Portal nebo pomocí modelu nasazení Classic. Certifikáty služeb jsou přidruženy ke konkrétní cloudové službě. Definiční soubor služby je přiřadí k nasazení.
Certifikáty služeb je možné spravovat odděleně od služeb a různé osoby je mohou spravovat. Vývojář může například nahrát balíček služby, který odkazuje na certifikát, který správce IT předtím nahrál do Azure. Správce IT může tento certifikát spravovat a obnovovat (změnou konfigurace služby), aniž by musel nahrávat nový balíček služby. Aktualizace bez nového balíčku služby je možná, protože logický název, název úložiště a umístění certifikátu jsou v definičním souboru služby a zatímco kryptografický otisk certifikátu je zadaný v konfiguračním souboru služby. Pokud chcete aktualizovat certifikát, stačí nahrát nový certifikát a změnit hodnotu kryptografického otisku v konfiguračním souboru služby.
Poznámka:
Nejčastější dotazy ke cloudovým službám – Článek o konfiguraci a správě obsahuje několik užitečných informací o certifikátech.
Co jsou certifikáty pro správu?
Certifikáty pro správu vám umožňují ověřit se pomocí modelu nasazení Classic. Mnoho programů a nástrojů (například Visual Studio nebo Azure SDK) používá tyto certifikáty k automatizaci konfigurace a nasazení různých služeb Azure. Tyto certifikáty nesouvisí s cloudovými službami.
Upozorňující
Dej si pozor! Tyto typy certifikátů umožňují všem uživatelům, kteří se s nimi ověřují, spravovat předplatné, ke kterému jsou přidruženi.
Omezení
Pro každé předplatné platí limit 100 certifikátů pro správu. Existuje také limit 100 certifikátů pro správu pro všechna předplatná v rámci id uživatele konkrétního správce služeb. Pokud už bylo ID uživatele pro správce účtu použito k přidání 100 certifikátů pro správu a potřebujete další certifikáty, můžete přidat spolusprávce a přidat další certifikáty.
Kromě toho není možné používat certifikáty pro správu s předplatnými CSP (Cloud Solution Provider) jako předplatná CSP pouze model nasazení Azure Resource Manager a certifikáty pro správu používají klasický model nasazení. Další informace o možnostech předplatných CSP najdete v referenčních informacích k modelu nasazení Azure Resource Manager vs. Model nasazení Classic a vysvětlení ověřování pomocí sady Azure SDK pro .NET .
Vytvoření nového certifikátu podepsaného svým držitelem
Pomocí libovolného nástroje, který je k dispozici, můžete vytvořit certifikát podepsaný svým držitelem, pokud budou dodržovat tato nastavení:
Certifikát X.509.
Obsahuje veřejný klíč.
Vytvořeno pro výměnu klíčů (soubor .pfx).
Název subjektu se musí shodovat s doménou používanou pro přístup ke cloudové službě.
Nemůžete získat certifikát TLS/SSL pro cloudapp.net (ani pro žádnou doménu související s Azure). Název subjektu certifikátu se musí shodovat s vlastním názvem domény použitým pro přístup k vaší aplikaci. Například contoso.net, nikoli contoso.cloudapp.net.
Minimálně 2048bitové šifrování.
Pouze certifikát služby: Certifikát na straně klienta musí být umístěn v osobním úložišti certifikátů.
Certifikát ve Windows můžete vytvořit dvěma snadnými způsoby pomocí makecert.exe nástroje nebo služby IIS.
Makecert.exe
Tento nástroj je vyřazený a zde už není dokumentován. Další informace najdete v tomto článku o službě Microsoft Developer Network (MSDN).
PowerShell
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Poznámka:
Pokud chcete použít certifikát s IP adresou místo domény, použijte IP adresu v parametru -DnsName.
Pokud chcete tento certifikát použít s portálem pro správu, exportujte ho do souboru .cer :
Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer
IIS (Internetová informační služba)
Existuje mnoho stránek na internetu, které pokrývají, jak vytvořit certifikáty se službou IIS, například Kdy použít certifikát podepsaný svým držitelem služby IIS.
Linux
Rychlé kroky: Vytvoření a použití páru veřejného a privátního klíče SSH pro virtuální počítače s Linuxem v Azure popisuje, jak vytvořit certifikáty pomocí SSH.
Další kroky
Nahrajte certifikát služby na web Azure Portal.
Nahrajte certifikát rozhraní API pro správu na web Azure Portal.