Konfigurace certifikátů zabezpečení
Byli jste požádáni, abyste pomohli zabezpečit přenášené informace mezi aplikací vaší společnosti a zákazníkem. služba Aplikace Azure obsahuje nástroje, které umožňují vytvářet, nahrávat nebo importovat soukromý certifikát nebo veřejný certifikát do služby App Service.
Certifikát nahraný do aplikace je uložený v jednotce nasazení, která je svázaná se skupinou prostředků a oblastí plánu služby App Service (interně označovanou jako webspace). Díky tomu bude certifikát přístupný pro jiné aplikace ve stejné kombinaci skupin prostředků a oblastí.
Následující tabulka podrobně popisuje možnosti přidání certifikátů ve službě App Service:
| Možnost | Popis |
|---|---|
| Vytvoření bezplatného spravovaného certifikátu služby App Service | Privátní certifikát, který je zdarma a snadno použitelný, pokud potřebujete jen zabezpečit vlastní doménu ve službě App Service. |
| Nákup certifikátu služby App Service | Privátní certifikát spravovaný Azure. Kombinuje jednoduchost automatizované správy certifikátů a flexibilitu možností obnovení a exportu. |
| Import certifikátu ze služby Key Vault | Užitečné, pokud ke správě certifikátů používáte Azure Key Vault. |
| Nahrání privátního certifikátu | Pokud už máte privátní certifikát od jiného poskytovatele, můžete ho nahrát. |
| Nahrání veřejného certifikátu | Veřejné certifikáty se nepoužívají k zabezpečení vlastních domén, ale pokud je potřebujete pro přístup ke vzdáleným prostředkům, můžete je načíst do kódu. |
Požadavky na privátní certifikát
Bezplatný spravovaný certifikát služby App Service a certifikát služby App Service již splňují požadavky služby App Service. Pokud chcete ve službě App Service použít privátní certifikát, musí váš certifikát splňovat následující požadavky:
- Exportovaný jako soubor PFX chráněný heslem zašifrovaný pomocí trojité des.
- Obsahuje soukromý klíč dlouhý nejméně 2048 bitů.
- Musí v řetězu certifikátů obsahovat všechny zprostředkující certifikáty a kořenový certifikát.
Pro zabezpečení vlastní domény ve vazbě TLS má certifikát další požadavky:
- Obsahuje rozšířené použití klíče pro ověřování serveru (OID = 1.3.6.1.5.5.7.3.1).
- Podepsán důvěryhodnou certifikační autoritou
Vytvoření bezplatného spravovaného certifikátu
Pokud chcete vytvořit vlastní vazby TLS/SSL nebo povolit klientské certifikáty pro aplikaci App Service, musí být váš plán služby App Service na úrovni Basic, Standard, Premium nebo Isolated .
Bezplatný spravovaný certifikát služby App Service je řešení na klíč pro zabezpečení vlastního názvu DNS ve službě App Service. Jedná se o certifikát serveru TLS/SSL, který je plně spravovaný službou App Service a obnovil se nepřetržitě a automaticky v šestiměsíčních přírůstcích, 45 dnů před vypršením platnosti. Certifikát vytvoříte a svážete ho s vlastní doménou a necháte službu App Service provést zbytek.
Důležité
Před vytvořením bezplatného spravovaného certifikátu se ujistěte, že splňujete požadavky vaší aplikace. DigiCert vydává bezplatné certifikáty. U některých domén musíte digiCert explicitně povolit jako vystavitele certifikátu vytvořením záznamu domény CAA s hodnotou: 0 issue digicert.com. Azure plně spravuje certifikáty vaším jménem, takže jakýkoli aspekt spravovaného certifikátu, včetně kořenového vystavitele, se může kdykoli změnit. Tyto změny jsou mimo váš ovládací prvek. Ujistěte se, že se chcete vyhnout pevným závislostem a "připnutí" certifikátů do spravovaného certifikátu nebo jakékoli části hierarchie certifikátů.
Bezplatný certifikát má následující omezení:
- Nepodporuje certifikáty se zástupnými cardy.
- Nepodporuje použití jako klientský certifikát pomocí kryptografického otisku certifikátu, který se plánuje pro vyřazení a odebrání.
- Nepodporuje privátní DNS.
- Není možné exportovat.
- Služba App Service Environment (ASE) není podporovaná.
- Podporuje pouze alfanumerické znaky, pomlčky (-) a tečky (.).
- Podporují se jenom vlastní domény o délce až 64 znaků.
Import certifikátu služby App Service
Pokud si koupíte certifikát služby App Service z Azure, Azure spravuje následující úlohy:
- Postará se o proces nákupu od poskytovatele certifikátů.
- Provede ověření domény certifikátu.
- Udržuje certifikát ve službě Azure Key Vault.
- Spravuje obnovení certifikátu.
- Synchronizujte certifikát automaticky s importovanými kopiemi v aplikacích app Service.
Pokud už máte funkční certifikát služby App Service, můžete:
- Importujte certifikát do služby App Service.
- Spravujte certifikát, jako je obnovení, opětovné vytvoření klíče a export.
Poznámka:
V současnosti nejsou v národních cloudech Azure podporované certifikáty služby App Service.