Tanúsítványok áttekintése – Azure Cloud Services (klasszikus)

  • Cikk

Fontos

Cloud Services (klasszikus) mostantól elavult az új ügyfelek számára, és 2024. augusztus 31-én megszűnik minden ügyfél számára. Az új üzemelő példányoknak az új Azure Resource Manager-alapú Azure Cloud Services (kiterjesztett támogatás) üzemi modellt kell használniuk.

A tanúsítványok az Azure-ban a felhőszolgáltatásokhoz (szolgáltatástanúsítványokhoz) és a felügyeleti API-val (felügyeleti tanúsítványok) való hitelesítéshez használatosak. Ez a témakör általános áttekintést nyújt mindkét tanúsítványtípusról, valamint arról, hogyan hozhatja létre és helyezheti üzembe őket az Azure-ban.

Az Azure-ban használt tanúsítványok x.509 v3-tanúsítványok, és aláírhatók egy másik megbízható tanúsítvánnyal, vagy önaláírtak is lehetnek. Az önaláírt tanúsítványt a saját létrehozója írja alá, ezért alapértelmezés szerint nem megbízható. A legtöbb böngésző figyelmen kívül tudja hagyni ezt a problémát. Csak önaláírt tanúsítványokat használjon a felhőszolgáltatások fejlesztésekor és tesztelésekor.

Az Azure által használt tanúsítványok tartalmazhatnak nyilvános kulcsot. A tanúsítványok ujjlenyomattal rendelkeznek, amely egyértelmű azonosítást tesz lehetővé. Ez az ujjlenyomat az Azure konfigurációs fájljában található annak azonosítására, hogy a felhőszolgáltatásnak melyik tanúsítványt kell használnia.

Megjegyzés

Az Azure Cloud Services nem fogadja el az AES256-SHA256 titkosított tanúsítványt.

Mik azok a szolgáltatási tanúsítványok?

A szolgáltatási tanúsítványok a felhőszolgáltatásokhoz kapcsolódnak, és a szolgáltatásból kifelé és befelé irányuló biztonságos kommunikációt teszik lehetővé. Ha például egy webes szerepkört helyezett üzembe, olyan tanúsítványt szeretne megadni, amely képes hitelesíteni egy közzétett HTTPS-végpontot. A szolgáltatásdefinícióban definiált szolgáltatástanúsítványok automatikusan üzembe lesznek helyezve a szerepkör egy példányát futtató virtuális gépen.

A szolgáltatási tanúsítványokat feltöltheti az Azure-ba az Azure Portal használatával, vagy a klasszikus üzembehelyezési modell alkalmazásával is. A szolgáltatási tanúsítványok az adott felhőszolgáltatáshoz vannak társítva. Ezek a szolgáltatás definíciós fájljában vannak hozzárendelve a központi telepítéshez.

A szolgáltatástanúsítványok a szolgáltatásoktól elkülönítve kezelhetők, és különböző személyek kezelhetik. A fejlesztők például feltölthetnek egy olyan szolgáltatáscsomagot, amely egy olyan tanúsítványra hivatkozik, amelyet egy informatikai vezető korábban feltöltött az Azure-ba. Az IT-menedzser felügyelheti és megújíthatja a tanúsítványt (vagyis módosíthatja a szolgáltatás konfigurációját) anélkül is, hogy új szervizcsomagot kellene feltölteni. Új szolgáltatáscsomag nélkül történő frissítés lehetséges, mert a tanúsítvány logikai neve, tárolóneve és helye a szolgáltatásdefiníciós fájlban található, és a tanúsítvány ujjlenyomata meg van adva a szolgáltatáskonfigurációs fájlban. A tanúsítvány frissítéséhez ezért elég feltölteni egy új tanúsítványt és megváltoztatni az ujjlenyomat értéket a szolgáltatás konfigurációs fájljában.

Megjegyzés

A Cloud Services – Konfiguráció és kezelés című cikk hasznos információkat tartalmaz a tanúsítványokról.

Mik azok a felügyeleti tanúsítványok?

A felügyeleti tanúsítványok lehetővé teszik a klasszikus üzembehelyezési modell alkalmazásával történő hitelesítést. Számos program és eszköz (például a Visual Studio vagy az Azure SDK) ezeket a tanúsítványokat használja a különböző Azure-szolgáltatások konfigurációjának és üzembe helyezésének automatizálására. Ezek nem igazán kapcsolódnak a felhőszolgáltatásokhoz.

Figyelmeztetés

Légy óvatos! Az ilyen típusú tanúsítványok lehetővé teszik, hogy a velük hitelesítést végző személyek felügyelhessék a társított előfizetést.

Korlátozások

Előfizetésenként legfeljebb 100 felügyeleti tanúsítvány lehet. Egy adott szolgáltatásadminisztrátor felhasználói azonosítójához tartozó összes előfizetésre 100 felügyeleti tanúsítvány van korlátozva. Ha a fiókadminisztrátor felhasználói azonosítóját már használták 100 felügyeleti tanúsítvány hozzáadásához, és további tanúsítványokra van szükség, hozzáadhat egy társadminisztrátort a további tanúsítványok hozzáadásához.

Emellett a felügyeleti tanúsítványok nem használhatók CSP-előfizetésekkel, mivel a CSP-előfizetések csak az Azure Resource Manager-alapú üzemi modellt támogatják, a felügyeleti tanúsítványok pedig a klasszikus üzemi modellt használják. A CSP-előfizetések lehetőségeiről az Azure Resource Manager és a klasszikus üzemi modell, valamint a .NET-hez készült Azure SDK-val történő hitelesítés ismertetése című cikkben talál további információt.

Új önaláírt tanúsítvány létrehozása

Bármilyen elérhető eszközzel létrehozhat önaláírt tanúsítványt, ha azok megfelelnek az alábbi beállításoknak:

  • X.509-tanúsítvány.

  • Nyilvános kulcsot tartalmaz.

  • Kulcscsere (.pfx fájl) számára létrehozva.

  • A tulajdonos nevének meg kell egyeznie a felhőszolgáltatás eléréséhez használt tartománnyal.

    Nem szerezhet be TLS-/SSL-tanúsítványt a cloudapp.net (vagy bármely Azure-hoz kapcsolódó) tartományhoz; a tanúsítvány tulajdonosának meg kell egyeznie az alkalmazás eléréséhez használt egyéni tartománynévvel. Például contoso.net, nem contoso.cloudapp.net.

  • Legalább 2048 bites titkosítás.

  • Csak szolgáltatástanúsítvány: Az ügyféloldali tanúsítványnak a személyes tanúsítványtárolóban kell lennie.

A windowsos tanúsítványok kétféleképpen hozhatók létre a segédprogrammal vagy az makecert.exe IIS-vel.

Makecert.exe

Ez a segédprogram elavult, és már nincs dokumentálva itt. További információt ebben az MSDN-cikkben talál.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Megjegyzés

Ha tartomány helyett IP-címmel szeretné használni a tanúsítványt, használja az IP-címet a -DnsName paraméterben.

Ha ezt a tanúsítványt a felügyeleti portállal szeretné használni, exportálja egy .cer fájlba:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

Az interneten számos oldal található, amelyek bemutatja, hogyan teheti ezt meg az IIS-lel. Íme egy nagyszerű, amit találtam, hogy azt hiszem, jól magyarázza.

Linux

Ez a cikk azt ismerteti, hogyan hozhat létre tanúsítványokat SSH-val.

Következő lépések

Töltse fel a szolgáltatástanúsítványt a Azure Portal.

Töltsön fel egy felügyeleti API-tanúsítványt a Azure Portal.