Azure API Management でカスタム CA 証明書を追加する方法

  • [アーティクル]

適用対象: 開発者 | Basic | Basic v2 | Standard | Standard v2 | Premium

Azure API Management を使用すると、信頼できるルート証明書ストアと中間証明書ストア内のマシンに CA 証明書をインストールできます。 サービスにカスタム CA 証明書が必要な場合、この機能を使用する必要があります。

この記事では、Azure portal の Azure API Management サービス インスタンスの CA 証明書を管理する方法について説明します。 たとえば、自己署名クライアント証明書を使用する場合は、カスタムの信頼されたルート証明書を API Management にアップロードできます。

API Management にアップロードされた CA 証明書は、マネージド API Management ゲートウェイによる証明書の検証にのみ使用できます。 セルフホステッド ゲートウェイを使用する場合は、この記事の後半で説明するセルフホステッド ゲートウェイ 用のカスタム CAを作成する方法をご覧ください。

Note

Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

CA 証明書をアップロードする

Azure portal での CA 証明書

新しい CA 証明書をアップロードするには、次の手順を実行します。 API Management サービス インスタンスをまだ作成していない場合は、API Management サービス インスタンスの作成に関するチュートリアルを参照してください。

  1. Azure portal で Azure API Management サービス インスタンスに移動します。

  2. メニューの [セキュリティ] で、[証明書] > [CA 証明書] > [+ 追加] を選択します。

  3. 証明書 .cer ファイルを参照し、証明書ストアを指定します。 公開キーのみが必要なので、パスワードは省略可能です。

    Azure portal で CA 証明書を追加する

  4. [保存] を選択します。 この操作には数分かかることがあります。

注意

  • 証明書を割り当てる処理は、デプロイのサイズによっては、15 分以上かかる場合があります。 Developer SKU では、処理中にダウンタイムが発生します。 Basic 以上の SKU では、処理中にダウンタイムが発生しません。
  • New-AzApiManagementSystemCertificate PowerShell コマンドを使用して CA 証明書をアップロードすることもできます。

CA 証明書を削除する

証明書を選択し、コンテキスト メニュー ( [...] ) で [削除] を選択します。

セルフホステッド ゲートウェイ用のカスタム CA を作成する

セルフホステッド ゲートウェイを使用する場合、API Management サービスにアップロードされた CA ルート証明書を使用したサーバーおよびクライアントの証明書の検証はサポートされていません。 信頼を確立するには、ゲートウェイによってカスタム証明機関として信頼されるように特定のクライアント証明書を構成します。

セルフホステッド ゲートウェイ用のカスタム CA を作成および管理するには、Gateway Certificate Authority REST API を使用します。 カスタム CA を作成するには:

  1. API Management インスタンスに証明書.pfx ファイルを追加します。
  2. Gateway Certificate Authority - Create または Update REST API を使用して、証明書を自己管理型ゲートウェイに関連付けます。