Hinzufügen eines benutzerdefinierten ZS-Zertifikats in Azure API Management

  • Artikel

GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium

Azure API Management ermöglicht die Installation von ZS-Zertifikaten (Zertifizierungsstellenzertifikaten) auf dem Computer im vertrauenswürdigen Stammzertifikatspeicher und den Zwischenzertifikatspeichern. Diese Funktion sollte verwendet werden, wenn Ihre Dienste ein benutzerdefiniertes ZS-Zertifikat erfordern.

Dieser Artikel erläutert die Verwaltung von ZS-Zertifikaten einer Azure API Management-Dienstinstanz im Azure-Portal. Wenn Sie beispielsweise selbstsignierte Clientzertifikate verwenden, können Sie benutzerdefinierte vertrauenswürdige Stammzertifikate in API Management hochladen.

In API Management hochgeladene Zertifizierungsstellenzertifikate können nur für die Zertifikatüberprüfung durch das verwaltete API Management-Gateway verwendet werden. Wenn Sie das selbstgehostete Gateway verwenden, erfahren Sie weiter unten in diesem Artikel, wie Sie eine benutzerdefinierte Zertifizierungsstelle für das selbstgehostete Gateway erstellen.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Hochladen eines ZS-Zertifikats

Zertifizierungsstellenzertifikate im Azure-Portal

Gehen Sie folgendermaßen vor, um ein neues ZS-Zertifikat hochzuladen. Falls Sie noch keine API Management-Dienstinstanz erstellt haben, finden Sie weitere Informationen im Tutorial Erstellen einer API Management-Dienstinstanz.

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure API Management-Dienstinstanz.

  2. Wählen Sie in dem Menü unter Sicherheit die Option Zertifikate > ZS-Zertifikate > + Hinzufügen aus.

  3. Suchen Sie nach dem CER-Zertifikatdatei, und wählen Sie den Zertifikatspeicher aus. Nur der öffentliche Schlüssel ist erforderlich, das Kennwort ist optional.

    Hinzufügen eines Zertifizierungsstellenzertifikats im Azure-Portal

  4. Wählen Sie Speichern aus. Dieser Vorgang kann einige Minuten dauern.

Hinweis

  • Die Zuweisung des Zertifikats kann je nach Größe der Bereitstellung 15 Minuten und länger dauern. Für die Developer-SKU kommt es während des Prozesses zu Ausfallzeiten. Bei Basic- und höheren SKUs kommt es während des Prozesses zu keinen Ausfallzeiten.
  • Sie können ein Zertifizierungsstellenzertifikat auch mithilfe des PowerShell-Befehls New-AzApiManagementSystemCertificate hochladen.

Löschen eines Zertifizierungsstellenzertifikats.

Wählen Sie das Zertifikat und dann im Kontextmenü ( ... ) die Option Löschen aus.

Erstellen einer benutzerdefinierten Zertifizierungsstelle für ein selbstgehostetes Gateway

Wenn Sie ein selbstgehostetes Gateway verwenden, wird die Überprüfung von Server- und Clientzertifikaten mithilfe von Zertifizierungsstellen-Stammzertifikaten, die in den API Management-Dienst hochgeladen wurden, nicht unterstützt. Um eine Vertrauensstellung herzustellen, konfigurieren Sie ein spezifisches Clientzertifikat, damit es vom Gateway als benutzerdefinierte Zertifizierungsstelle als vertrauenswürdig eingestuft wird.

Verwenden Sie die REST-APIs der Gatewayzertifizierungsstelle, um benutzerdefinierte Zertifizierungsstellen für ein selbstgehostetes Gateway zu erstellen und zu verwalten. So erstellen Sie eine benutzerdefinierte Zertifizierungsstelle

  1. Fügen Sie Ihrer API Management-Instanz eine PFX-Zertifikatdatei hinzu.
  2. Verwenden Sie die REST-API Gatewayzertifizierungsstelle – Erstellen oder Aktualisieren, um das Zertifikat dem selbstverwalteten Gateway zuzuordnen.