Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
A Cloud Services (klasszikus) 2024. szeptember 1-étől minden ügyfél számára elavult. A Microsoft leállítja és megszünteti a meglévő futó telepítéseket, és az adatok 2024 októberétől végleg elvesznek. Az új üzemelő példányoknak az Azure Cloud Services új Azure Resource Manager-alapú üzemi modelljét (kiterjesztett támogatás) kell használniuk.
A tanúsítványokat az Azure-ban felhőszolgáltatásokhoz (szolgáltatástanúsítványokhoz) és a felügyeleti API-val (felügyeleti tanúsítványokkal) való hitelesítéshez használják. Ez a cikk általános áttekintést nyújt mindkét tanúsítványtípusról, valamint arról, hogyan hozhatja létre és helyezheti üzembe őket az Azure-ban.
Az Azure-ban használt tanúsítványok x.509 v3-tanúsítványok. Önaláírást végezhetnek, vagy egy másik megbízható tanúsítvány is aláírhatja őket. A tanúsítvány önaláírt, amikor a létrehozója aláírja. Az önaláírt tanúsítványok alapértelmezés szerint nem megbízhatók, de a legtöbb böngésző figyelmen kívül hagyhatja ezt a problémát. A felhőszolgáltatások fejlesztése és tesztelése során csak önaláírt tanúsítványokat kell használnia.
Az Azure által használt tanúsítványok tartalmazhatnak nyilvános kulcsot. A tanúsítványok ujjlenyomattal rendelkeznek, amely egyértelmű azonosítást tesz lehetővé. Ez az ujjlenyomat az Azure konfigurációs fájljában található annak azonosítására, hogy melyik tanúsítványt kell használnia a felhőszolgáltatásnak.
Megjegyzés
Az Azure Cloud Services nem fogadja el az AES256-SHA256 titkosított tanúsítványt.
Mik azok a szolgáltatási tanúsítványok?
A szolgáltatási tanúsítványok a felhőszolgáltatásokhoz kapcsolódnak, és a szolgáltatásból kifelé és befelé irányuló biztonságos kommunikációt teszik lehetővé. Ha például egy webes szerepkört helyezett üzembe, olyan tanúsítványt szeretne megadni, amely hitelesíthet egy közzétett HTTPS-végpontot. A szolgáltatásdefinícióban definiált szolgáltatástanúsítványok automatikusan üzembe lesznek helyezve a szerepkör egy példányát futtató virtuális gépen.
A szolgáltatási tanúsítványokat feltöltheti az Azure-ba az Azure Portal használatával, vagy a klasszikus üzembehelyezési modell alkalmazásával is. A szolgáltatási tanúsítványok az adott felhőszolgáltatáshoz vannak társítva. A szolgáltatásdefiníciós fájl hozzárendeli őket egy üzembe helyezéshez.
A szolgáltatástanúsítványok a szolgáltatásoktól külön kezelhetők, és különböző személyek kezelhetik őket. Egy fejlesztő például feltölthet egy olyan szolgáltatáscsomagot, amely egy olyan tanúsítványra hivatkozik, amelyet egy informatikai vezető korábban feltöltött az Azure-ba. Az IT-menedzser felügyelheti és megújíthatja a tanúsítványt (vagyis módosíthatja a szolgáltatás konfigurációját) anélkül is, hogy új szervizcsomagot kellene feltölteni. Új szolgáltatáscsomag nélkül történő frissítésre azért van lehetőség, mert a tanúsítvány logikai neve, tárolóneve és helye a szolgáltatásdefiníciós fájlban található, és amíg a tanúsítvány ujjlenyomata meg van adva a szolgáltatáskonfigurációs fájlban. A tanúsítvány frissítéséhez ezért elég feltölteni egy új tanúsítványt és megváltoztatni az ujjlenyomat értéket a szolgáltatás konfigurációs fájljában.
Megjegyzés
A Cloud Services gyik – Konfiguráció és kezelés című cikk hasznos információkat tartalmaz a tanúsítványokról.
Mik azok a felügyeleti tanúsítványok?
A felügyeleti tanúsítványok lehetővé teszik a klasszikus üzembehelyezési modell alkalmazásával történő hitelesítést. Számos program és eszköz (például a Visual Studio vagy az Azure SDK) ezeket a tanúsítványokat használja a különböző Azure-szolgáltatások konfigurációjának és üzembe helyezésének automatizálására. Ezek a tanúsítványok nem kapcsolódnak a felhőszolgáltatásokhoz.
Figyelmeztetés
Légy óvatos! Az ilyen típusú tanúsítványok lehetővé teszik, hogy bárki, aki hitelesít velük, kezelje a hozzájuk társított előfizetést.
Korlátozások
Előfizetésenként legfeljebb 100 felügyeleti tanúsítvány lehet. Egy adott szolgáltatásadminisztrátor felhasználói azonosítója alatt az összes előfizetéshez 100 felügyeleti tanúsítvány van korlátozva. Ha a fiókadminisztrátor felhasználói azonosítóját már 100 felügyeleti tanúsítvány hozzáadására használták, és további tanúsítványokra van szükség, hozzáadhat egy társadminisztrátort a további tanúsítványok hozzáadásához.
Emellett a felügyeleti tanúsítványok nem használhatók Felhőszolgáltató (CSP) előfizetésekkel, mivel a CSP-előfizetések csak az Azure Resource Manager üzemi modelljét támogatják, a felügyeleti tanúsítványok pedig a klasszikus üzemi modellt használják. Kérjük, hivatkozzon az Azure Resource Manager vs klasszikus üzembe helyezési modell és az Azure SDK for .NET hitelesítésének ismertetése dokumentumokra további információkért a CSP-előfizetésekkel kapcsolatos lehetőségekről.
Új önaláírt tanúsítvány létrehozása
Bármilyen elérhető eszközzel létrehozhat önaláírt tanúsítványt, amennyiben azok megfelelnek az alábbi beállításoknak:
X.509-tanúsítvány.
Nyilvános kulcsot tartalmaz.
Kulcscseréhez (.pfx fájlhoz) létrehozva.
A tárgynévnek meg kell egyeznie az eléréshez használt felhőszolgáltatás tartományával.
Nem szerezhet be TLS/SSL-tanúsítványt a cloudapp.net (vagy bármely Azure-hoz kapcsolódó) tartományhoz; a tanúsítvány tárgynevének meg kell egyeznie az alkalmazás eléréséhez használt egyéni tartománynévvel. Például contoso.net, nem contoso.cloudapp.net.
Legalább 2048 bites titkosítás.
Csak szolgáltatástanúsítvány: Az ügyféloldali tanúsítványnak a személyes tanúsítványtárolóban kell lennie.
A windowsos tanúsítványok két egyszerű módon hozhatók létre a segédprogrammal vagy az makecert.exe IIS-vel.
Makecert.exe
Ez a segédprogram ki van állítva, és már nincs dokumentálva itt. További információ: Microsoft Developer Network (MSDN) című cikk.
PowerShell
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Megjegyzés
Ha tartomány helyett IP-címmel szeretné használni a tanúsítványt, használja az IP-címet a -DnsName paraméterben.
Ha ezt a tanúsítványt a felügyeleti portállal szeretné használni, exportálja egy .cer fájlba:
Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer
Internet Information Services (IIS)
Az interneten számos olyan oldal található, amely bemutatja, hogyan hozhat létre tanúsítványokat az IIS használatával, például mikor érdemes használni az IIS önaláírt tanúsítványt.
Linux
Gyors lépések: Nyilvános és titkos SSH-kulcspár létrehozása és használata Linux rendszerű virtuális gépekhez az Azure-ban , amely leírja, hogyan hozhat létre tanúsítványokat SSH-val.
Következő lépések
Töltse fel a szolgáltatástanúsítványt az Azure Portalra.
Töltse fel a felügyeleti API-tanúsítványt az Azure Portalra.