Gambaran umum sertifikat untuk Azure Cloud Services (klasik)

  • Artikel

Penting

Cloud Services (klasik) sekarang tidak lagi digunakan untuk pelanggan baru dan akan dihentikan untuk semua pelanggan pada 31 Agustus 2024. Penyebaran baru sebaiknya menggunakan Azure Resource Manager yang baru berdasarkan model penyebaran Azure Cloud Services (dukungan tambahan) .

Sertifikat digunakan di Azure untuk layanan awan (sertifikat layanan) dan untuk mengautentikasi dengan API manajemen (sertifikat manajemen). Topik ini memberikan gambaran umum tentang kedua tipe sertifikat, cara membuat dan menerapkannya ke Azure.

Sertifikat yang digunakan di Azure adalah sertifikat x.509 v3 dan dapat ditandatangani oleh sertifikat tepercaya lain atau dapat ditandatangani sendiri. Sertifikat yang ditandatangani sendiri ditandatangani oleh pembuatnya sendiri, oleh karena itu tidak dipercaya secara default. Sebagian besar browser dapat mengabaikan masalah ini. Anda hanya boleh menggunakan sertifikat yang ditandatangani sendiri saat mengembangkan dan menguji layanan awan Anda.

Sertifikat yang digunakan oleh Azure dapat berisi kunci publik. Sertifikat memiliki thumbprint yang menyediakan sarana untuk mengidentifikasi mereka dengan cara yang tidak ambigu. Thumbprint ini digunakan dalam file konfigurasi Azure untuk mengidentifikasi sertifikat mana yang harus digunakan layanan awan.

Catatan

Azure Cloud Services tidak menerima sertifikat terenkripsi AES256-SHA256.

Apa itu sertifikat layanan?

Sertifikat layanan dilampirkan ke layanan awan untuk memungkinkan komunikasi yang aman ke dan dari layanan. Misalnya, jika Anda menggunakan peran web, Anda ingin menyediakan sertifikat yang dapat mengautentikasi titik akhir HTTPS yang diekspos. Sertifikat layanan, didefinisikan dalam definisi layanan, secara otomatis diterapkan ke komputer virtual yang menjalankan instans peran Anda.

Anda dapat mengunggah sertifikat layanan ke Azure menggunakan portal Microsoft Azure atau dengan menggunakan model penerapan klasik. Sertifikat layanan dikaitkan dengan layanan awan tertentu. Mereka ditugaskan untuk penerapan dalam file definisi layanan.

Sertifikat layanan dapat dikelola secara terpisah dari layanan Anda, dan dapat dikelola oleh individu yang berbeda. Misalnya, pengembang dapat mengunggah paket layanan yang merujuk ke sertifikat yang sebelumnya diunggah manajer IT ke Azure. Manajer IT dapat mengelola dan memperpanjang sertifikat tersebut (mengubah konfigurasi layanan) tanpa perlu mengunggah paket layanan baru. Pembaruan tanpa paket layanan baru dimungkinkan karena nama logis, nama penyimpanan, dan lokasi sertifikat ada dalam file definisi layanan dan sementara thumbprint sertifikat ditentukan dalam file konfigurasi layanan. Untuk memperbarui sertifikat, Anda hanya perlu mengunggah sertifikat baru dan mengubah nilai thumbprint dalam file konfigurasi layanan.

Catatan

Artikel Tanya Jawab Umum Cloud Services - Konfigurasi dan Manajemen memiliki beberapa informasi bermanfaat tentang sertifikat.

Apa itu sertifikat manajemen?

Sertifikat manajemen memungkinkan Anda mengautentikasi dengan model penerapan klasik. Banyak program dan alat (seperti Visual Studio atau Azure SDK) menggunakan sertifikat ini untuk mengotomatiskan konfigurasi dan penerapan berbagai layanan Azure. Ini tidak benar-benar terkait dengan layanan awan.

Peringatan

Hati-hati! Jenis sertifikat ini memungkinkan siapa saja yang mengautentikasi dengan sertifikat untuk mengelola langganan yang terkait dengannya.

Batasan

Ada batas 100 sertifikat manajemen per langganan. Ada juga batas 100 sertifikat manajemen untuk semua langganan di bawah ID pengguna administrator layanan tertentu. Jika ID pengguna untuk administrator akun telah digunakan untuk menambahkan 100 sertifikat manajemen dan ada kebutuhan untuk lebih banyak sertifikat, Anda dapat menambahkan administrator bersama untuk menambahkan sertifikat tambahan.

Selain itu, sertifikat manajemen tidak dapat digunakan dengan langganan CSP karena langganan CSP hanya mendukung model penyebaran Azure Resource Manager dan sertifikat manajemen menggunakan model penyebaran klasik. Lihat Azure Resource Manager vs model penyebaran klasik dan Memahami Autentikasi dengan SDK Azure untuk .NET untuk informasi selengkapnya tentang opsi untuk langganan CSP.

Membuat sertifikat baru yang ditandatangani sendiri

Anda dapat menggunakan alat apa pun yang tersedia untuk membuat sertifikat yang ditandatangani sendiri selama mereka mematuhi pengaturan ini:

  • Sertifikat X.509.

  • Berisi kunci publik.

  • Dibuat untuk pertukaran kunci (file.pfx).

  • Bagaimanapun, nama subjek sertifikat harus sesuai dengan domain yang Anda gunakan untuk mengakses layanan awan.

    Anda tidak dapat memperoleh sertifikat TLS/SSL untuk domain cloudapp.net (atau domain apa pun terkait Azure); nama subjek sertifikat harus cocok dengan nama domain kustom yang digunakan untuk mengakses aplikasi Anda. Misalnya, contoso.net, bukan contoso.cloudapp.net.

  • Minimal enkripsi 2048-bit.

  • Hanya Sertifikat Layanan: Sertifikat pihak klien harus berada di penyimpanan sertifikat Pribadi.

Ada dua cara mudah untuk membuat sertifikat di Windows, dengan utilitas makecert.exe, atau IIS.

Makecert.exe

Utilitas ini telah dihentikan dan tidak lagi didokumentasikan di sini. Untuk informasi selengkapnya, lihat artikel MSDN ini.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Catatan

Jika Anda ingin menggunakan sertifikat dengan alamat IP dan bukan domain, gunakan alamat IP di parameter -DnsName.

Jika Anda ingin menggunakan sertifikat ini dengan portal manajemen, ekspor sertifikat tersebut ke file .cer:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Layanan Informasi Internet (IIS)

Ada banyak halaman di internet yang membahas cara melakukan ini dengan IIS. Berikut adalah salah satu yang bagus dan saya rasa penjelasannya bagus.

Linux

Artikel ini menjelaskan cara membuat sertifikat dengan SSH.

Langkah berikutnya

Unggah sertifikat layanan Anda ke portal Microsoft Azure.

Unggah sertifikat API manajemen ke portal Microsoft Azure.