Come aggiungere un certificato della CA personalizzato in Gestione API di Azure

  • Articolo

SI APPLICA A: Sviluppatore | Basic | Basic v2 | Standard | Standard v2 | Premium

Gestione API di Azure consente di installare i certificati della CA nel computer all'interno di archivi di certificati intermedi e radice attendibile. Questa funzionalità deve essere usata se i servizi richiedono un certificato della CA personalizzato.

Questo articolo illustra come gestire i certificati della CA di un'istanza del servizio Gestione API di Azure nel portale di Azure. Ad esempio, se si usano certificati client autofirmati, è possibile caricare certificati radice trusted personalizzati in Gestione API.

I certificati CA caricati in Gestione API possono essere usati solo per la convalida dei certificati dal gateway di Gestione API gestito. Se si usa gateway self-hosted, viene descritto come creare una CA personalizzata per il gateway self-hosted, più avanti in questo articolo.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Caricare un certificato della CA

Certificati ca nel portale di Azure

Seguire questa procedura per caricare un nuovo certificato della CA. Se non è ancora stata creata un'istanza del servizio Gestione API, vedere l'esercitazione Creare un'istanza di Gestione API.

  1. Passare all'istanza del servizio Gestione API di Azure nel portale di Azure.

  2. Nel menu, in Sicurezza, selezionare Certificati > Certificati CA > + Aggiungi.

  3. Cercare il file del certificato con estensione cer e decidere l'archivio certificati. È necessario specificare solo la chiave pubblica e pertanto la password è facoltativa.

    Aggiungere un certificato CA nel portale di Azure

  4. Seleziona Salva. Questa operazione può richiedere qualche minuto.

Nota

  • Il processo di assegnazione del certificato potrebbe richiedere circa 15 minuti o più, a seconda delle dimensioni della distribuzione. Lo SKU Developer ha tempi di inattività durante il processo. Gli SKU Basic e superiori non hanno tempi di inattività durante il processo.
  • È anche possibile caricare un certificato della CA usando il comando New-AzApiManagementSystemCertificate di PowerShell.

Eliminare un certificato della CA

Selezionare il certificato e selezionare Elimina nel menu di scelta rapida (...).

Creare una CA personalizzata per il gateway self-hosted

Se si usa un gateway self-hosted, la convalida dei certificati server e client tramite certificati radice CA caricati nel servizio Gestione API non è supportata. Per stabilire l'attendibilità, configurare un certificato client specifico in modo che sia considerato attendibile dal gateway come autorità di certificazione personalizzata.

Usare l'API REST Autorità di certificazione gateway per creare e gestire CA personalizzate per un gateway self-hosted. Per creare una CA personalizzata:

  1. Aggiungere un file .pfx di certificato all'istanza di Gestione API.
  2. Usare l'API REST Autorità di certificazione del gateway - Creare o aggiornare per associare il certificato al gateway autogestito.