Tanúsítványok és az App Service Environment v2
Fontos
Ez a cikk az App Service Environment v2-ről szól, amelyet izolált App Service-csomagokkal használnak. Az App Service Environment v2 2-et 2024. augusztus 31-én kivonjuk. Az App Service Environment új verziója egyszerűbben használható és hatékonyabb infrastruktúrán futtatható. Az új verzióról az App Service-környezet bemutatása című cikkből tudhat meg többet. Ha jelenleg az App Service Environment 2-es verzióját használja, kövesse az ebben a cikkben ismertetett lépéseket az új verzióra való migráláshoz.
2024. január 29-étől már nem hozhat létre új App Service Environment v2-erőforrásokat az elérhető módszerek , például ARM/Bicep-sablonok, Azure Portal, Azure CLI vagy REST API használatával. 2024. augusztus 31-ig át kell telepítenie az App Service Environment v3-ra az erőforrás törlésének és adatvesztésének megakadályozása érdekében.
Az App Service Environment (A Standard kiadás) az Azure Virtual Networkben (VNet) futó Azure-alkalmazás szolgáltatás üzembe helyezése. Üzembe helyezhető egy internethez elérhető alkalmazásvégponttal vagy egy, a virtuális hálózaton található alkalmazásvégponttal. Ha az A Standard kiadás egy internethez elérhető végponttal telepíti, az üzembe helyezést külső A Standard kiadás-nak nevezzük. Ha az A Standard kiadás egy végponttal telepíti a virtuális hálózaton, az üzembe helyezést ILB A Standard kiadás-nak nevezzük. Az ILB A Standard kiadás a Létrehozás és az ILB A Standard kiadás dokumentumból tudhat meg többet.
Az A Standard kiadás egyetlen bérlői rendszer. Mivel ez egy bérlő, egyes funkciók csak A Standard kiadás esetén érhetők el, amelyek nem érhetők el a több-bérlős App Service-ben.
ILB A Standard kiadás tanúsítványok
Külső A Standard kiadás használata esetén a rendszer az alkalmazásnévnél <>éri el az alkalmazásokat.<asename.p.azurewebsites.net>. Alapértelmezés szerint az összes A Standard kiadás, még az ILB A Standard kiadás is az adott formátumot követő tanúsítványokkal jön létre. Ha ILB A Standard kiadás rendelkezik, a rendszer az alkalmazásokat az ILB A létrehozásakor megadott tartománynév alapján éri el Standard kiadás. Ahhoz, hogy az alkalmazások támogathassák a TLS-t, fel kell töltenie a tanúsítványokat. Érvényes TLS/SSL-tanúsítvány beszerzése belső hitelesítésszolgáltatók használatával, tanúsítvány vásárlása külső kiállítótól vagy önaláírt tanúsítvány használatával.
A tanúsítványok az ILB A-vel való konfigurálására két lehetőség közül választhat Standard kiadás. Beállíthat helyettesítő alapértelmezett tanúsítványt az ILB A Standard kiadás vagy beállíthatja a tanúsítványokat az A Standard kiadás egyes webalkalmazásaiban. A választott beállítástól függetlenül a következő tanúsítványattribútumokat megfelelően kell konfigurálni:
- Tárgy: Ezt az attribútumot *-ra kell állítani.[ a root-domain-here] helyettesítő karakteres ILB A Standard kiadás-tanúsítványhoz. Ha az alkalmazáshoz hozza létre a tanúsítványt, annak [appname] kell lennie. [a-root-domain-here]
- Tulajdonos alternatív neve: Ennek az attribútumnak tartalmaznia kell a *.[ az Ön gyökértartománya és a *.scm. [a-root-domain-here] az ILB A helyettesítő karakterhez Standard kiadás tanúsítványhoz. Ha az alkalmazáshoz hozza létre a tanúsítványt, annak [appname] kell lennie. [your-root-domain-here] és [appname].scm. [a-root-domain-here].
Harmadik változatként létrehozhat egy ILB A Standard kiadás-tanúsítványt, amely az összes alkalmazásnevet tartalmazza a tanúsítvány SAN-jában a helyettesítő karakterek használata helyett. Ezzel a módszerrel az a probléma, hogy előre kell tudnia az A Standard kiadás üzembe helyezendő alkalmazások nevét, vagy folyamatosan frissítenie kell az ILB A Standard kiadás tanúsítványt.
Tanúsítvány feltöltése az ILB A-be Standard kiadás
Miután létrejött egy ILB A Standard kiadás a portálon, a tanúsítványt be kell állítani az ILB A Standard kiadás számára. A tanúsítvány beállításáig az A Standard kiadás megjelenít egy szalagcímet, amely szerint a tanúsítvány nincs beállítva.
A feltöltött tanúsítványnak .pfx fájlnak kell lennie. A tanúsítvány feltöltése után a tanúsítvány használata körülbelül 20 perccel késik.
Nem hozhatja létre az A Standard kiadás és nem töltheti fel a tanúsítványt egyetlen műveletként a portálon vagy akár egy sablonban. Külön műveletként feltöltheti a tanúsítványt egy sablon használatával az A létrehozása Standard kiadás sablondokumentumból.
Ha gyorsan létre szeretne hozni egy önaláírt tanúsítványt a teszteléshez, a PowerShell alábbi részét használhatja:
$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText
$fileName = "exportedcert.pfx"
Export-PfxCertificate -cert $certThumbprint -FilePath $fileName -Password $password
Önaláírt tanúsítvány létrehozásakor meg kell győződnie arról, hogy a tulajdonos neve CN={A Standard kiadás_NAME_HERE}_InternalLoadBalancingAStandard kiadás formátumú.
Alkalmazástanúsítványok
Az A Standard kiadás-ben üzemeltetett alkalmazások használhatják a több-bérlős App Service-ben elérhető alkalmazásközpontú tanúsítványszolgáltatásokat. Ezek a funkciók a következők:
- SNI-tanúsítványok
- IP-alapú SSL, amelyet csak külső A Standard kiadás támogat. Az ILB A Standard kiadás nem támogatja az IP-alapú SSL-t.
- KeyVault által üzemeltetett tanúsítványok
A tanúsítványok feltöltésére és kezelésére vonatkozó utasítások a TLS/SSL-tanúsítvány hozzáadása Azure-alkalmazás szolgáltatásban érhetők el. Ha egyszerűen úgy konfigurál tanúsítványokat, hogy megfeleljenek a webalkalmazáshoz rendelt egyéni tartománynévnek, akkor ezek az utasítások elegendőek lesznek. Ha egy alapértelmezett tartománynévvel rendelkező ILB A Standard kiadás-webalkalmazás tanúsítványát tölti fel, adja meg a tanúsítvány san-beli scm-webhelyét a korábban leírtak szerint.
TLS-beállítások
A TLS-beállítást alkalmazásszinten konfigurálhatja.
Privát ügyféltanúsítvány
Gyakori használati eset, ha az alkalmazást ügyfélként konfigurálja egy ügyfélkiszolgálói modellben. Ha magánhálózati hitelesítésszolgáltatói tanúsítvánnyal védi a kiszolgálót, fel kell töltenie az ügyféltanúsítványt az alkalmazásba. Az alábbi utasítások a tanúsítványokat az alkalmazás által futtatott feldolgozók megbízhatósági adattárában töltik be. Ha egy alkalmazásba tölti be a tanúsítványt, akkor a tanúsítvány ismételt feltöltése nélkül használhatja a többi appal ugyanabban az App Service-csomagban.
A tanúsítvány feltöltése az alkalmazásba az A Standard kiadás:
Hozzon létre egy .cer fájlt a tanúsítványhoz.
Nyissa meg a tanúsítványt igénylő alkalmazást az Azure Portalon
Nyissa meg az ssl-beállításokat az alkalmazásban. Kattintson az Upload Certificate (Tanúsítvány feltöltése) parancsra. Válassza a Nyilvános lehetőséget. Válassza a Helyi gép lehetőséget. Adjon meg egy nevet. Tallózással jelölje ki a .cer fájlt. Válassza a feltöltést.
Másolja ki az ujjlenyomatot.
Lépjen az Alkalmazás Gépház. Hozzon létre egy alkalmazásbeállítást WEBSITE_LOAD_ROOT_CERTIFICATES értékként az ujjlenyomattal. Ha több tanúsítvánnyal rendelkezik, ugyanabban a beállításban helyezheti el őket vesszővel elválasztva, és nincs olyan szabad tér, mint a
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
A tanúsítványt az alkalmazással megegyező App Service-csomagban lévő összes alkalmazás elérhetővé teszi, amely ezt a beállítást konfigurálta. Ha azt szeretné, hogy egy másik App Service-csomag alkalmazásaiban elérhető legyen, meg kell ismételnie az appbeállítási műveletet egy appban az adott App Service-csomagban. A tanúsítvány beállításának ellenőrzéséhez lépjen a Kudu-konzolra, és adja ki a következő parancsot a PowerShell hibakeresési konzolján:
dir cert:\localmachine\root
A tesztelés elvégzéséhez létrehozhat egy önaláírt tanúsítványt, és létrehozhat egy .cer fájlt a következő PowerShell-lel:
$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText
$fileName = "exportedcert.cer"
export-certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: