Tanúsítványok és a App Service Environment

Megjegyzés

Ez a cikk az izolált v2-App Service csomagokkal használt App Service Environment v3-ról szól

A App Service Environment az Azure-beli virtuális hálózaton futó Azure App Service üzembe helyezése. Üzembe helyezhető egy internetes elérhető alkalmazásvégponttal vagy a virtuális hálózaton található alkalmazásvégponttal. Ha az App Service Environment egy internetes elérhető végponttal telepíti, az üzembe helyezést külső App Service Environment nevezik. Ha a App Service Environment egy végponttal telepíti a virtuális hálózaton, az üzembe helyezést ILB-App Service Environment nevezik. Az ILB-App Service Environment az ILB-App Service Environment létrehozása és használata című dokumentumból tudhat meg többet.

Alkalmazástanúsítványok

Az App Service Environment üzemeltetett alkalmazások a következő alkalmazásközpontú tanúsítványszolgáltatásokat támogatják, amelyek a több-bérlős App Service is elérhetők. A tanúsítványok feltöltésével és kezelésével kapcsolatos követelményekért és utasításokért lásd: TLS/SSL-tanúsítvány hozzáadása Azure App Service.

• SNI-tanúsítványok
• KeyVault által üzemeltetett tanúsítványok

Miután hozzáadta a tanúsítványt a App Service alkalmazáshoz vagy függvényalkalmazáshoz, biztonságossá teheti vele az egyéni tartománynevet, vagy használhatja azt az alkalmazáskódban.

Korlátozások

App Service felügyelt tanúsítványok nem támogatottak az App Service Environment üzemeltetett alkalmazásokban.

TLS-beállítások

A TLS-beállítást alkalmazásszinten konfigurálhatja .

Privát ügyféltanúsítvány

Gyakori használati eset, ha ügyfélként konfigurálja az alkalmazást egy ügyfélkiszolgálói modellben. Ha magánhálózati hitelesítésszolgáltatói tanúsítvánnyal védi a kiszolgálót, fel kell töltenie az ügyféltanúsítványt (.cer-fájlt ) az alkalmazásba. Az alábbi utasítások tanúsítványokat töltenek be az alkalmazás által futtatott feldolgozók megbízhatósági tárolójába. A tanúsítványt csak egyszer kell feltöltenie ahhoz, hogy azonos App Service csomagban lévő alkalmazásokkal használja.

Megjegyzés

A privát ügyféltanúsítványok csak egyéni kódból támogatottak a Windows-kódalkalmazásokban. A privát ügyféltanúsítványok nem támogatottak az alkalmazáson kívül. Ez korlátozza a használatot olyan helyzetekben, mint például az alkalmazástároló lemezképének lekérése egy beállításjegyzékből egy privát tanúsítvány használatával, valamint a TLS-hitelesítés az előtér-kiszolgálókon egy privát tanúsítvány használatával.

Az alábbi lépéseket követve töltse fel a tanúsítványt (.cer fájlt) az alkalmazásba a App Service Environment. A .cer fájl exportálható a tanúsítványból. Tesztelési célokra a végén egy PowerShell-példa található egy ideiglenes önaláírt tanúsítvány létrehozásához:

1. Nyissa meg a tanúsítványt igénylő alkalmazást a Azure Portal

2. Nyissa meg az alkalmazásban a Tanúsítványok elemet. Válassza a Nyilvános kulcsú tanúsítvány (.cer) lehetőséget. Válassza a Tanúsítvány hozzáadása lehetőséget. Adjon meg egy nevet. Tallózással válassza ki a .cer fájlt. Válassza a feltöltés lehetőséget.

3. Másolja ki az ujjlenyomatot.

4. Lépjen a Konfigurációs>alkalmazás beállításai területre. Hozzon létre egy alkalmazásbeállítást WEBSITE_LOAD_ROOT_CERTIFICATES értékként az ujjlenyomattal. Ha több tanúsítvánnyal rendelkezik, ugyanabban a beállításban helyezheti el őket vesszővel elválasztva, és nincs olyan térköz, mint a

   84EC242A4EC7957817B8E48913E509535552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

A tanúsítványt az alkalmazással azonos App Service-csomagban lévő összes alkalmazás elérhetővé teszi, amely konfigurálta ezt a beállítást, de a magánhálózati hitelesítésszolgáltatói tanúsítványtól függő összes alkalmazásnak konfigurálnia kell az alkalmazásbeállítást az időzítési problémák elkerülése érdekében.

Ha azt szeretné, hogy egy másik App Service csomagban lévő alkalmazások számára elérhető legyen, meg kell ismételnie az alkalmazásbeállítási műveletet az adott App Service csomagban lévő alkalmazásokhoz. A tanúsítvány beállításának ellenőrzéséhez lépjen a Kudu-konzolra, és adja ki a következő parancsot a PowerShell hibakeresési konzoljában:

dir Cert:\LocalMachine\Root

A tesztelés elvégzéséhez létrehozhat egy önaláírt tanúsítványt, és létrehozhat egy .cer fájlt a következő PowerShell-lel:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Privát kiszolgáló tanúsítványa

Ha az alkalmazás kiszolgálóként működik egy ügyfélkiszolgálói modellben, fordított proxy mögött vagy közvetlenül privát ügyféllel, és magánhálózati hitelesítésszolgáltatói tanúsítványt használ, fel kell töltenie a kiszolgálói tanúsítványt (.pfx fájlt) a teljes tanúsítványlánccal az alkalmazáshoz, és a tanúsítványt az egyéni tartományhoz kell kötnie. Mivel az infrastruktúra a App Service Environment van szentelve, a rendszer hozzáadja a teljes tanúsítványláncot a kiszolgálók megbízhatósági tárolójához. A tanúsítványt csak egyszer kell feltöltenie ahhoz, hogy azonos App Service Environment lévő alkalmazásokkal használja.

Megjegyzés

Ha 1 előtt töltötte fel a tanúsítványt. 2023. októberében újra kell betöltenie és újra kell kötnie a tanúsítványt, hogy a teljes tanúsítványlánc hozzá legyen adva a kiszolgálókhoz.

A biztonságos egyéni tartomány TLS/SSL-oktatóanyaggal való követésével feltöltheti vagy kötheti a magánhálózati hitelesítésszolgáltató által gyökerező tanúsítványt az alkalmazáshoz a App Service Environment.

Következő lépések

• Információk a tanúsítványok alkalmazáskódban való használatáról