Meglévő egyéni tartomány leképezése az Azure Spring Appsbe

  • Cikk

Feljegyzés

Az Azure Spring Apps az Azure Spring Cloud szolgáltatás új neve. Bár a szolgáltatásnak új neve van, bizonyos helyeken a régi nevet fogja látni egy darabig, miközben az eszközök, például képernyőképek, videók és diagramok frissítésével dolgozunk.

Ez a cikk a következőre vonatkozik: ✔️ Java ✔️ C#

Ez a cikk a következőre vonatkozik: ✔️ Standard ✔️ Enterprise

A tartománynév-szolgáltatás (DNS) a hálózati csomópontok neveinek hálózaton keresztüli tárolására szolgáló technika. Ez a cikk leképez egy tartományt, például www.contoso.comegy CNAME rekordot. Tanúsítványsal védi az egyéni tartományt, és bemutatja, hogyan kényszeríthető ki a Transport Layer Security (TLS), más néven Secure Sockets Layer (SSL).

A tanúsítványok titkosítják a webes forgalmat. Ezek a TLS-/SSL-tanúsítványok az Azure Key Vaultban tárolhatók.

Előfeltételek

  • Azure-előfizetés. Ha nem rendelkezik előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
  • (Nem kötelező) Az Azure CLI 2.45.0-s vagy újabb verziója. Az Azure Spring Apps bővítmény telepítéséhez használja a következő parancsot: az extension add --name spring
  • Az Azure Spring Appsben üzembe helyezett alkalmazás (lásd : Rövid útmutató: Meglévő alkalmazás indítása az Azure Spring Appsben az Azure Portal használatával vagy meglévő alkalmazás használata). Ha az alkalmazás az Alapszintű csomaggal van üzembe helyezve, mindenképpen frissítsen a Standard csomagra.
  • Tartománynév, amely hozzáfér egy tartományszolgáltató DNS-beállításjegyzékéhez, például a GoDaddyhez.
  • Egy külső szolgáltatótól származó magántanúsítvány (vagyis az önaláírt tanúsítvány). A tanúsítványnak meg kell egyeznie a tartományával.
  • Az Azure Key Vault üzembe helyezett példánya. További információ: Az Azure Key Vault ismertetése.

Az Azure Spring Apps-felügyelet IP-címei még nem részei az Azure Megbízható Microsoft-szolgáltatások. Ezért ahhoz, hogy az Azure Spring Apps be tudja tölteni a tanúsítványokat egy privát végpontkapcsolatokkal védett Key Vaultból, a következő IP-címeket kell hozzáadnia az Azure Key Vault tűzfalához:

  • 20.99.204.111
  • 20.201.9.97
  • 20.74.97.5
  • 52.235.25.35
  • 20.194.10.0
  • 20.59.204.46
  • 104.214.186.86
  • 52.153.221.222
  • 52.160.137.39
  • 20.39.142.56
  • 20.199.190.222
  • 20.79.64.6
  • 20.211.128.96
  • 52.149.104.144
  • 20.197.121.209
  • 40.119.175.77
  • 20.108.108.22
  • 102.133.143.38
  • 52.226.244.150
  • 20.84.171.169
  • 20.93.48.108
  • 20.75.4.46
  • 20.78.29.213
  • 20.106.86.34
  • 20.193.151.132

Tanúsítvány importálása

A tanúsítványfájl előkészítése a PFX-ben (nem kötelező)

Az Azure Key Vault támogatja a magántanúsítvány PEM és PFX formátumú importálását. Ha a tanúsítványszolgáltatótól beszerzett PEM-fájl nem működik a Tanúsítvány mentése a Key Vaultban szakaszban, kövesse az alábbi lépéseket az Azure Key Vaulthoz készült PFX létrehozásához.

Köztes tanúsítványok egyesítése

Ha a hitelesítésszolgáltató több tanúsítványt biztosít a tanúsítványláncban, sorrendben kell egyesítenie a tanúsítványokat.

Ehhez nyissa meg a szövegszerkesztőben kapott összes tanúsítványt.

Hozzon létre egy mergedcertificate.crt nevű fájlt az egyesített tanúsítvány számára. Egy szövegszerkesztőben másolja ebbe a fájlba az egyes tanúsítványok tartalmát. A tanúsítványok sorrendjének egyeznie kell a tanúsítványláncban lévő sorrenddel, a saját tanúsítvánnyal kezdve és a főtanúsítvánnyal végződve. Az alábbi példához hasonlóan néz ki:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Tanúsítvány exportálása PFX-fájlba

Exportálja az egyesített TLS/SSL-tanúsítványt azzal a titkos kulccsal, amellyel a tanúsítványkérelmet létrehozták.

Ha OpenSSL használatával hozta létre a tanúsítványkérést, akkor létrehozott egy titkoskulcsfájlt. A tanúsítvány PFX-fájlba exportáláshoz futtassa az alábbi parancsot. Cserélje le a helyőrzők <titkoskulcs-fájlját> és <egyesített tanúsítványfájlját> a titkos kulcs és az egyesített tanúsítványfájl elérési útjaira.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Amikor a rendszer megkéri, adjon meg egy exportálási jelszót. Ezt a jelszót akkor használja, amikor a TLS/SSL-tanúsítványt később feltölti az Azure Key Vaultba.

Ha az IIS vagy a Certreq.exe használatával hozta létre a tanúsítványkérést, telepítse a tanúsítványt a helyi számítógépre, majd exportálja a tanúsítványt PFX-fájlba.

Tanúsítvány mentése a Key Vaultban

A tanúsítvány importálásához a PEM- vagy PFX-kódolt fájlnak lemezen kell lennie, és rendelkeznie kell a titkos kulccsal.

A tanúsítvány key vaultba való feltöltéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a key vault-példányt.

  2. A navigációs ablakban válassza a Tanúsítványok lehetőséget.

  3. A felső menüben válassza a Létrehozás/importálás lehetőséget.

  4. A Tanúsítvány létrehozása lapon válassza az Importálás tanúsítványlétrehozási módszerhez lehetőséget, majd adjon meg egy értéket a tanúsítványnévhez.

  5. A Tanúsítványfájl feltöltése területen keresse meg a tanúsítvány helyét, és válassza ki.

  6. Ha jelszóval védett tanúsítványfájlt tölt fel, a Jelszó csoportban adja meg ezt a jelszót. Ellenkező esetben hagyja üresen. A tanúsítványfájl sikeres importálása után a Key Vault eltávolítja ezt a jelszót.

  7. Válassza a Létrehozás lehetőséget.

    Képernyőkép az Azure Portal Tanúsítvány létrehozása párbeszédpaneléről.

Hozzáférés biztosítása az Azure Spring Apps számára a kulcstartóhoz

A tanúsítvány importálása előtt hozzáférést kell adnia az Azure Spring Appsnek a kulcstartóhoz.

az alábbi lépésekkel biztosíthatja a hozzáférést az Azure Portalon:

  1. Nyissa meg a key vault-példányt.
  2. A navigációs ablakban válassza az Access-szabályzatok lehetőséget.
  3. A felső menüben válassza a Létrehozás lehetőséget.
  4. Töltse ki az adatokat, és válassza a Hozzáadás gombot, majd a Hozzáférési szabályzat létrehozása lehetőséget .
Titkos engedély Tanúsítványengedély Rendszerbiztonsági tag kiválasztása
Lekérés, Listázás Lekérés, Listázás Azure Spring Apps Domain-Management

Feljegyzés

Ha nem találja az "Azure Spring Apps domain-management" kifejezést, keressen rá az "Azure Spring Cloud Domain-Management" kifejezésre.

Képernyőkép az Azure Portal Hozzáférési szabályzat hozzáadása lapjáról, amelyen a Titkos kódok és a Tanúsítvány engedélyeiből kiválasztott Get and List (Beolvasás és lista) beállítás van kiválasztva.

Képernyőkép az Azure Portal Hozzáférési szabályzat létrehozása lapjáról, amelyen az Azure Spring Apps Domain-management a Select a principal legördülő listából van kiválasztva.

Tanúsítvány importálása az Azure Spring Appsbe

  1. Nyissa meg az Azure Spring Apps-példányt.

  2. A navigációs panelen válassza a TLS/SSL-beállításokat.

  3. Válassza a Kulcstartó-tanúsítvány importálása lehetőséget.

    Képernyőkép az Azure Portalról, amelyen a TLS/SSL-beállítások lap látható, és a Key Vault-tanúsítvány importálása gomb ki van emelve.

  4. A Tanúsítvány kiválasztása az Azure-ból lapon válassza ki az Előfizetést, a Key Vaultot és a Tanúsítványt a legördülő menüből, majd válassza a Kiválasztás lehetőséget.

    Képernyőkép az Azure Portalról, amelyen a Tanúsítvány kiválasztása az Azure-ból lap látható.

  5. A megnyitott Tanúsítványnév beállítása lapon adja meg a tanúsítvány nevét, szükség esetén válassza az Automatikus szinkronizálás engedélyezése lehetőséget, majd válassza az Alkalmaz lehetőséget. További információt az Automatikus szinkronizálás tanúsítvány szakaszában talál.

    Képernyőkép az Azure Portal Tanúsítványnév beállítása párbeszédpaneléről.

  6. Ha sikeresen importálta a tanúsítványt, az megjelenik a titkos kulcsú tanúsítványok listájában.

    Képernyőkép az Azure Portalról, amelyen a Titkos kulcsú tanúsítványok lap látható.

Fontos

Ha ezzel a tanúsítvánnyal szeretne egyéni tartományt biztonságossá tenni, mindenképpen kösse hozzá a tanúsítványt az adott tartományhoz. További információ: SSL-kötés hozzáadása szakasz.

Automatikus szinkronizálási tanúsítvány

Az Azure Key Vaultban tárolt tanúsítványok néha megújulnak, mielőtt lejárna. Hasonlóképpen előfordulhat, hogy a szervezet tanúsítványkezelési biztonsági szabályzatai megkövetelik, hogy a DevOps csapata rendszeresen cserélje le a tanúsítványokat újakra. Miután engedélyezte az automatikus szinkronizálást egy tanúsítványhoz, az Azure Spring Apps rendszeresen szinkronizálni kezdi a kulcstartót egy új verzióhoz – általában 24 óránként. Ha elérhető egy új verzió, az Azure Spring Apps importálja, majd újra betölti a tanúsítványt használó különböző összetevőkhöz anélkül, hogy leállást okoz. Az alábbi lista az érintett összetevőket és a kapcsolódó forgatókönyveket mutatja be:

Amikor az Azure Spring Apps importál vagy újra betölt egy tanúsítványt, a rendszer létrehoz egy tevékenységnaplót. A tevékenységnaplók megtekintéséhez keresse meg az Azure Spring Apps-példányt az Azure Portalon, és válassza a Tevékenységnapló lehetőséget a navigációs panelen.

Feljegyzés

A tanúsítvány automatikus szinkronizálási funkciója az Azure Key Vaultból importált magántanúsítványokkal és nyilvános tanúsítványokkal működik. Ez a funkció nem érhető el az ügyfél által feltöltött tartalomtanúsítványok esetében.

Ha tanúsítványt importál a kulcstartóból az Azure Spring Appsbe, engedélyezheti vagy letilthatja a tanúsítvány automatikus szinkronizálását. További információ: Tanúsítvány importálása az Azure Spring Appsbe szakasz.

Ezt a funkciót az Azure Spring Appsbe már importált tanúsítványok esetében is engedélyezheti vagy letilthatja.

Az importált tanúsítványok automatikus szinkronizálásának engedélyezéséhez vagy letiltásához kövesse az alábbi lépéseket:

  1. Lépjen a titkos kulcsú tanúsítványok vagy nyilvános kulcsú tanúsítványok listájára.

  2. Az Automatikus szinkronizálás oszlop után kattintson a három pontra (...), majd válassza az Automatikus szinkronizálás engedélyezése vagy Az automatikus szinkronizálás letiltása lehetőséget.

    Képernyőkép az Azure Portalról, amely egy tanúsítványlistát jelenít meg a három pont gomb menüjével, és az Automatikus szinkronizálás engedélyezése lehetőség van kiválasztva.

Egyéni tartomány hozzáadása

A CNAME rekordokkal egyéni DNS-nevet rendelhet az Azure Spring Appshez.

Feljegyzés

Az A rekord nem támogatott.

A CNAME rekord létrehozása

Lépjen a DNS-szolgáltatóhoz, és adjon hozzá egy CNAME rekordot a tartomány <service-name>.azuremicroservices.ioleképezéséhez. <service-name> Itt található az Azure Spring Apps-példány neve. Támogatjuk a helyettesítő karaktereket és az altartományt.

A CNAME hozzáadása után a DNS-rekordok lapja a következő példához hasonlít:

Képernyőkép az Azure Spring Apps-példányt megjelenítő DNS-rekordok oldaláról.

Egyéni tartomány leképezése az Azure Spring Apps-alkalmazásba

Ha nem rendelkezik alkalmazásokkal az Azure Spring Appsben, kövesse az alábbi rövid útmutató utasításait : Az első alkalmazás üzembe helyezése az Azure Spring Appsben.

Ugrás az alkalmazáslapra.

  1. Válassza az Egyéni tartomány lehetőséget.

  2. Ezután vegyen fel egyéni tartományt.

    Képernyőkép az Egyéni tartomány lapot megjelenítő Azure Portalról.

  3. Írja be azt a teljes tartománynevet, amelyhez CNAME rekordot adott hozzá, például www.contoso.com. Győződjön meg arról, hogy a Gazdagépnév rekordtípus CNAME (<service-name>.azuremicroservices.io) értékre van állítva

  4. Válassza az Ellenőrzés lehetőséget a Hozzáadás gomb engedélyezéséhez.

  5. Válassza a Hozzáadás lehetőséget.

    Képernyőkép az Azure Portal Egyéni tartomány hozzáadása párbeszédpaneléről.

Egy alkalmazás több tartományt is tartalmazhat, de egy tartomány csak egy alkalmazáshoz rendelhető le. Ha sikeresen hozzárendelte az egyéni tartományt az alkalmazáshoz, az megjelenik az egyéni tartománytáblában.

Képernyőkép az Egyéni tartománytáblát megjelenítő Azure Portalról.

Feljegyzés

Az egyéni tartomány nem biztonságos címkéje azt jelenti, hogy még nincs SSL-tanúsítványhoz kötve. A böngészőből az egyéni tartományba irányuló HTTPS-kérések hibaüzenetet vagy figyelmeztetést kapnak.

SSL-kötés hozzáadása

Az egyéni tartománytáblában válassza az SSL-kötés hozzáadása lehetőséget az előző ábrán látható módon.

  1. Válassza ki vagy importálja a tanúsítványt.

  2. Válassza a Mentés lehetőséget.

    Képernyőkép az Azure Portalról, amelyen a TLS/SSL kötés panel látható.

Az SSL-kötés sikeres hozzáadása után a tartomány állapota biztonságos: Kifogástalan.

Képernyőkép egy SSL-kötésről, amely a tartomány állapotát kifogástalan állapotban jeleníti meg.

HTTPS kényszerítése

Alapértelmezés szerint bárki elérheti az alkalmazást HTTP használatával, de az összes HTTP-kérést átirányíthatja a HTTPS-portra.

Az alkalmazáslap navigációs sávján válassza az Egyéni tartomány lehetőséget. Ezután állítsa a CSAK HTTPS értéket a következőreYes: .

Képernyőkép egy SSL-kötésről, amelyen a Csak https beállítás van kiemelve.

Ha a művelet befejeződött, keresse meg az alkalmazásra mutató HTTPS-URL-címeket. Vegye figyelembe, hogy a HTTP URL-címek nem működnek.

Következő lépések