Použití certifikátů TLS/SSL ve vaší aplikaci v Azure Spring Apps
Poznámka:
Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.
Tento článek se vztahuje na: ✔️ Basic/Standard ✔️ Enterprise
V tomto článku se dozvíte, jak používat veřejné certifikáty ve službě Azure Spring Apps pro vaši aplikaci. Vaše aplikace může fungovat jako klient a přistupovat k externí službě, která vyžaduje ověření certifikátu, nebo může potřebovat provádět kryptografické úlohy.
Když necháte Azure Spring Apps spravovat certifikáty TLS/SSL, můžete certifikáty a kód aplikace udržovat samostatně, abyste ochránili citlivá data. Kód aplikace má přístup k veřejným certifikátům, které přidáte do instance Azure Spring Apps.
Požadavky
- Aplikace nasazená do Azure Spring Apps Viz Rychlý start: Nasazení první aplikace v Azure Spring Apps nebo použití existující aplikace.
- Soubor certifikátu s příponou .crt, .cer, .pem nebo .der nebo nasazenou instanci služby Azure Key Vault s privátním certifikátem.
Import certifikátu
Certifikát můžete importovat do instance Azure Spring Apps ze služby Key Vault nebo použít místní soubor certifikátu.
Import certifikátu ze služby Key Vault
Před importem certifikátu musíte službě Azure Spring Apps udělit přístup ke svému trezoru klíčů:
Přihlaste se k portálu Azure.
Vyberte trezory klíčů a pak vyberte službu Key Vault, ze které importujete certifikát.
V levém navigačním podokně vyberte Zásady přístupu a pak vyberte Vytvořit.
Vyberte oprávnění certifikátu a pak vyberte Získat a zobrazit seznam.
V části Instanční objekt vyberte svého poskytovatele prostředků Azure Spring Cloud.
Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.
Po udělení přístupu k trezoru klíčů můžete certifikát importovat pomocí následujícího postupu:
Přejděte do instance služby.
V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.
V části Certifikáty veřejných klíčů vyberte Importovat certifikát služby Key Vault.
V části Trezory klíčů vyberte trezor klíčů, v části Certifikát vyberte certifikát a pak vyberte Vybrat.
Zadejte hodnotu názvu certifikátu, v případě potřeby vyberte Povolit automatickou synchronizaci a pak vyberte Použít. Další informace najdete v části Automatické synchronizace certifikátu mapování existující vlastní domény na Azure Spring Apps.
Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.
Poznámka:
Instance služby Azure Key Vault a Azure Spring Apps by měly být ve stejném tenantovi.
Import místního souboru certifikátu
Soubor certifikátu uložený místně můžete importovat pomocí následujícího postupu:
- Přejděte do instance služby.
- V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.
- V části Certifikáty veřejných klíčů vyberte Nahrát veřejný certifikát.
Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.
Načtení certifikátu
Pokud chcete do aplikace v Azure Spring Apps načíst certifikát, začněte těmito kroky:
- Přejděte do instance aplikace.
- V levém navigačním podokně aplikace vyberte Správa certifikátů.
- Vyberte Přidat certifikát a zvolte certifikáty přístupné pro aplikaci.
Načtení certifikátu z kódu
Načtené certifikáty jsou k dispozici ve složce /etc/azure-spring-cloud/certs/public . Pomocí následujícího kódu Java načtěte veřejný certifikát v aplikaci v Azure Spring Apps.
CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);
// use the loaded certificate
Načtení certifikátu do úložiště důvěryhodnosti
U aplikace v Javě můžete pro vybraný certifikát zvolit Načíst do úložiště důvěryhodnosti. Certifikát se automaticky přidá do výchozích certifikátů TrustStore v Javě pro ověření serveru v ověřování SSL.
Následující protokol z vaší aplikace ukazuje, že se certifikát úspěšně načetl.
Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>