Certificati e Ambiente del servizio app
Nota
Questo articolo riguarda il ambiente del servizio app v3 usato con piani di servizio app isolato v2
Il ambiente del servizio app è una distribuzione della Servizio app di Azure eseguita all'interno della rete virtuale di Azure. Può essere distribuito con un endpoint applicazione accessibile da Internet o un endpoint dell'applicazione presente nella rete virtuale. Se si distribuisce il ambiente del servizio app con un endpoint accessibile da Internet, tale distribuzione viene chiamata ambiente del servizio app esterna. Se si distribuisce il ambiente del servizio app con un endpoint nella rete virtuale, tale distribuzione viene chiamata ambiente del servizio app il bilanciamento del carico interno. Per altre informazioni sul ambiente del servizio app il bilanciamento del carico interno, vedere il documento Creare e usare un ambiente del servizio app il bilanciamento del carico interno.
Certificati delle applicazioni
Le applicazioni ospitate in un ambiente del servizio app supportano le funzionalità di certificato incentrate sull'app seguenti, disponibili anche nel servizio app multi-tenant. Per i requisiti e le istruzioni per il caricamento e la gestione di tali certificati, vedere Aggiungere un certificato TLS/SSL in Servizio app di Azure.
Dopo aver aggiunto il certificato all'app servizio app o all'app per le funzioni, è possibile proteggere un nome di dominio personalizzato con esso o usarlo nel codice dell'applicazione.
Limitazioni
servizio app i certificati gestiti non sono supportati nelle app ospitate in un ambiente del servizio app.
Impostazioni di TLS
È possibile configurare l'impostazione TLS a livello di app.
Certificato client privato
Un caso d'uso comune è quello in cui l'app viene configurata come client in un modello client-server. Se si protegge il server con un certificato CA privato, è necessario caricare il certificato client (file con estensione cer) nell'app. Le istruzioni seguenti caricano i certificati nell'archivio di attendibilità dei ruoli di lavoro in cui è in esecuzione l'app. È sufficiente caricare il certificato una sola volta per usarlo con le app che si trovano nello stesso piano di servizio app.
Nota
I certificati client privati sono supportati solo dal codice personalizzato nelle app di codice di Windows. I certificati client privati non sono supportati all'esterno dell'app. Questo limita l'utilizzo in scenari come il pull dell'immagine del contenitore dell'app da un registro usando un certificato privato e TLS convalidando tramite i server front-end usando un certificato privato.
Seguire questa procedura per caricare il certificato (file con estensione cer) nell'app nel ambiente del servizio app. Il file CER può essere esportato dal certificato. A scopo di test, è disponibile un esempio di PowerShell alla fine per generare un certificato autofirmato temporaneo:
Passare all'app che richiede il certificato nel portale di Azure
Passare a Certificati nell'app. Selezionare Public Key Certificate (.cer). Selezionare Aggiungi certificato. Specificare un nome. Esplorare e selezionare i file .cer. Selezionare Carica.
Copiare l'identificazione personale.
Passare aImpostazioni applicazionedi configurazione>. Creare un'impostazione dell'app WEBSITE_LOAD_ROOT_CERTIFICATES con l'identificazione personale come valore. Se si hanno più certificati, è possibile inserirli nella stessa impostazione separata da virgole e senza spazi vuoti, ad esempio
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
Il certificato è disponibile da tutte le app nello stesso piano di servizio app dell'app, che ha configurato tale impostazione, ma tutte le app che dipendono dal certificato ca privato devono avere l'impostazione applicazione configurata per evitare problemi di temporizzazione.
Se è necessario che sia disponibile per le app in un piano di servizio app diverso, è necessario ripetere l'operazione di impostazione dell'app per le app in tale piano servizio app. Per verificare che il certificato sia impostato, passare alla console Kudu ed eseguire il comando seguente nella console di debug di PowerShell:
dir Cert:\LocalMachine\Root
Per eseguire il test, è possibile creare un certificato autofirmato e generare un file CER con il comando PowerShell seguente:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Certificato del server privato
Se l'app funge da server in un modello client-server, dietro un proxy inverso o direttamente con client privato e si usa un certificato CA privato, è necessario caricare il certificato server (file pfx ) con la catena di certificati completa nell'app e associare il certificato al dominio personalizzato. Poiché l'infrastruttura è dedicata alla ambiente del servizio app, la catena di certificati completa viene aggiunta all'archivio di attendibilità dei server. È sufficiente caricare il certificato una sola volta per usarlo con le app che si trovano nello stesso ambiente del servizio app.
Nota
Se il certificato è stato caricato prima di 1. Ottobre 2023, sarà necessario ricaricare e riassociare il certificato per la catena di certificati completa da aggiungere ai server.
Seguire l'esercitazione proteggere il dominio personalizzato con TLS/SSL per caricare/associare il certificato rooted della CA privata all'app nel ambiente del servizio app.
Passaggi successivi
- Informazioni su come usare i certificati nel codice dell'applicazione
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per