Bagikan melalui

Sertifikat dan Lingkungan App Service v2

  • Artikel

Penting

Artikel ini berisi tentang App Service Environment v2, yang digunakan dengan paket App Service Terisolasi. Lingkungan App Service v1 dan v2 dihentikan per 31 Agustus 2024. Terdapat versi baru Lingkungan App Service yang lebih mudah digunakan dan berjalan di infrastruktur yang lebih kuat. Untuk mempelajari selengkapnya tentang versi baru, mulai dengan Pengantar Lingkungan App Service. Jika saat ini Anda menggunakan Lingkungan App Service v1, ikuti langkah-langkah dalam artikel ini untuk bermigrasi ke versi baru.

Pada 31 Agustus 2024, Perjanjian Tingkat Layanan (SLA) dan Kredit Layanan tidak lagi berlaku untuk beban kerja App Service Environment v1 dan v2 yang terus diproduksi karena mereka adalah produk yang dihentikan. Penonaktifan perangkat keras App Service Environment v1 dan v2 telah dimulai, dan ini dapat memengaruhi ketersediaan dan performa aplikasi dan data Anda.

Anda harus segera menyelesaikan migrasi ke App Service Environment v3 atau aplikasi dan sumber daya Anda dapat dihapus. Kami akan mencoba memigrasikan secara otomatis Lingkungan App Service v1 dan v2 yang tersisa berdasarkan upaya terbaik menggunakan fitur migrasi di tempat, tetapi Microsoft tidak membuat klaim atau jaminan tentang ketersediaan aplikasi setelah migrasi otomatis. Anda mungkin perlu melakukan konfigurasi manual untuk menyelesaikan migrasi dan mengoptimalkan pilihan SKU paket App Service Anda untuk memenuhi kebutuhan Anda. Jika migrasi otomatis tidak memungkinkan, sumber daya dan data aplikasi terkait Anda akan dihapus. Kami sangat mendorong Anda untuk bertindak sekarang untuk menghindari salah satu skenario ekstrem ini.

Jika Anda memerlukan waktu tambahan, kami dapat menawarkan masa tenggang 30 hari sekali bagi Anda untuk menyelesaikan migrasi Anda. Untuk informasi selengkapnya dan untuk meminta masa tenggang ini, tinjau gambaran umum masa tenggang, lalu buka portal Azure dan kunjungi bilah Migrasi untuk setiap Lingkungan App Service Anda.

Untuk informasi terbaru tentang penghentian App Service Environment v1/v2, lihat pembaruan penghentian App Service Environment v1 dan v2.

Lingkungan App Service (ASE) adalah penyebaran Azure App Service yang berjalan dalam Jaringan Virtual Azure (VNet) Anda. Penyebaran tersebut dapat digunakan dengan titik akhir aplikasi yang dapat diakses dengan internet atau titik akhir aplikasi yang ada di jaringan virtual Anda. Jika Anda menggunakan ASE dengan titik akhir yang dapat diakses internet, penyebaran tersebut disebut ASE Eksternal. Jika Anda menyebarkan ASE dengan titik akhir di jaringan virtual, penyebaran itu disebut ILB ASE. Anda dapat mempelajari selengkapnya tentang ILB ASE dari Membuat dan menggunakan dokumen ILB ASE.

ASE adalah sistem penyewa tunggal. Karena penyewa tunggal, ada beberapa fitur yang hanya tersedia dengan ASE yang tidak tersedia di App Service multipenyewa.

Sertifikat ILB ASE

Jika Anda menggunakan ASE Eksternal, aplikasi Anda akan dijangkau di <appname>.<asename.p.azurewebsites.net>. Secara default semua ASEs, bahkan ILB ASEs, dibuat dengan sertifikat yang mengikuti format tersebut. Saat Anda memiliki ILB ASE, aplikasi dijangkau berdasarkan nama domain yang Anda tentukan saat membuat ILB ASE. Agar aplikasi dapat mendukung TLS, Anda perlu mengunggah sertifikat. Dapatkan sertifikat TLS/SSL yang valid dengan menggunakan otoritas sertifikat internal, membeli sertifikat dari penerbit eksternal, atau menggunakan sertifikat yang ditandatangani sendiri.

Ada dua opsi untuk mengonfigurasi sertifikat dengan ILB ASE Anda. Anda dapat mengatur sertifikat default kartubebas untuk ILB ASE atau mengatur sertifikat pada masing-masing aplikasi web di ASE. Terlepas dari pilihan yang Anda buat, atribut sertifikat berikut harus dikonfigurasi dengan benar:

  • Subjek: Atribut ini harus diatur ke *.[your-root-domain-here] untuk sertifikat pencarian wildcard ILB ASE. Jika membuat sertifikat untuk aplikasi Anda, maka itu seharusnya [appname].[your-root-domain-here]
  • Nama Alternatif Subjek: Atribut ini harus menyertakan . [ your-root-domain-here] and.scm.[ your-root-domain-here] untuk sertifikat ILB ASE kartubebas. Jika membuat sertifikat untuk aplikasi Anda, maka itu harus [appname].[your-root-domain-here] dan [appname].scm.[your-root-domain-here].

Sebagai varian ketiga, Anda dapat membuat sertifikat ILB ASE yang menyertakan semua nama aplikasi individual Anda di SAN sertifikat alih-alih menggunakan referensi kartubebas. Masalah dengan metode ini adalah Anda perlu mengetahui di depan nama aplikasi yang Anda masukkan ke ASE atau Anda perlu terus memperbarui sertifikat ILB ASE.

Unggah sertifikat ke ILB ASE

Setelah ILB ASE dibuat di portal, sertifikat harus di set untuk ILB ASE. Hingga sertifikat diatur, ASE akan menampilkan banner bahwa sertifikat tidak diatur.

Sertifikat yang Anda unggah harus file .pfx. Setelah sertifikat diunggah, ada penundaan waktu sekitar 20 menit sebelum sertifikat digunakan.

Anda tidak dapat membuat ASE dan mengunggah sertifikat sebagai satu tindakan di portal atau bahkan dalam satu templat. Sebagai tindakan terpisah, Anda bisa mengunggah sertifikat menggunakan templat seperti yang dijelaskan dalam dokumen Membuat ASE dari template.

Jika Anda ingin membuat sertifikat yang ditandatangani sendiri dengan cepat untuk pengujian, Anda bisa menggunakan sedikit PowerShell berikut:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.pfx"
Export-PfxCertificate -cert $certThumbprint -FilePath $fileName -Password $password

Saat membuat sertifikasi yang ditandatangani sendiri, Anda harus memastikan nama subjek memiliki format CN={ASE_NAME_HERE}_InternalLoadBalancingASE.

Sertifikat aplikasi

Aplikasi yang dihosting di ASE dapat menggunakan fitur sertifikat yang ber sentris aplikasi yang tersedia di App Service multipenyewa. Fitur-fitur tersebut meliputi:

  • Sertifikat SNI
  • SSL berbasis IP, yang hanya didukung dengan ASE Eksternal. ILB ASE tidak mendukung SSL berbasis IP.
  • Sertifikat yang dihosting KeyVault

Instruksi untuk mengunggah dan mengelola sertifikat tersebut tersedia di Tambahkan sertifikat TLS/SSL di Azure App Service. Jika Anda hanya mengonfigurasi sertifikat agar sesuai dengan nama domain kustom yang telah Anda tetapkan ke aplikasi web Anda, maka instruksi tersebut sudah cukup. Jika Anda mengunggah sertifikat untuk aplikasi web ILB ASE dengan nama domain default, tentukan situs scm di SAN sertifikat seperti yang disebutkan sebelumnya.

pengaturan TLS

Anda dapat mengonfigurasi pengaturan TLS di tingkat aplikasi.

Sertifikat klien privat

Kasus penggunaan yang umum adalah mengonfigurasi aplikasi Anda sebagai klien dalam model server-klien. Jika Anda mengamankan server Anda dengan sertifikat OS pribadi, Anda harus mengunggah sertifikat klien ke aplikasi Anda. Petunjuk berikut akan memuat sertifikat ke truststore pekerja tempat aplikasi Anda berjalan. Jika Anda memuat sertifikat ke satu aplikasi, Anda dapat menggunakannya dengan aplikasi lain dalam paket App Service yang sama tanpa mengunggah sertifikat lagi.

Untuk mengunggah sertifikat ke aplikasi Anda di ASE Anda:

  1. Buat file .cer untuk sertifikat Anda.
  2. Buka aplikasi yang memerlukan sertifikat di portal Microsoft Azure
  3. Masuk ke pengaturan SSL di aplikasi. Klik Unggah Sertifikat. Pilih Publik. Pilih Komputer Lokal. Berikan nama. Telusuri dan pilih file .cer Anda. Pilih unggah.
  4. Salin thumbprint.
  5. Buka Pengaturan Aplikasi. Buat Pengaturan Aplikasi WEBSITE_LOAD_ROOT_CERTIFICATES dengan thumbprint sebagai nilai. Jika Anda memiliki beberapa sertifikat, Anda dapat meletakkannya di pengaturan yang sama dipisahkan dengan koma dan tidak ada spasi putih seperti

84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Sertifikat akan tersedia oleh semua aplikasi dalam paket layanan aplikasi yang sama dengan aplikasi, yang mengonfigurasi setelan tersebut. Jika Anda memerlukannya untuk tersedia untuk aplikasi dalam paket App Service yang berbeda, Anda harus mengulangi operasi Pengaturan Aplikasi di aplikasi dalam paket App Service tersebut. Untuk memeriksa apakah sertifikat telah di set, buka konsol Kudu dan keluarkan perintah berikut di konsol debug PowerShell:

dir cert:\localmachine\root

Untuk melakukan pengujian, Anda bisa membuat sertifikat yang ditandatangani sendiri dan menghasilkan file .cer dengan PowerShell berikut:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.cer"
export-certificate -Cert $certThumbprint -FilePath $fileName -Type CERT