Certificaten en de App Service-omgeving

Notitie

Dit artikel gaat over de App Service Environment v3, die wordt gebruikt met Isolated v2 App Service-abonnementen

De App Service-omgeving is een implementatie van de Azure-app Service die wordt uitgevoerd in uw virtuele Azure-netwerk. Het kan worden geïmplementeerd met een eindpunt voor een internet toegankelijke toepassing of een toepassingseindpunt dat zich in uw virtuele netwerk bevindt. Als u de App Service Environment implementeert met een eindpunt dat toegankelijk is voor internet, wordt die implementatie een externe App Service-omgeving genoemd. Als u de App Service Environment implementeert met een eindpunt in uw virtuele netwerk, wordt die implementatie een ILB App Service Environment genoemd. Meer informatie over de ILB App Service Environment vindt u in het document Een ILB App Service Environment maken en gebruiken.

Toepassingscertificaten

Toepassingen die worden gehost in een App Service Environment ondersteunen de volgende app-gerichte certificaatfuncties, die ook beschikbaar zijn in de multitenant App Service. Zie Een TLS/SSL-certificaat toevoegen in Azure-app Service voor vereisten en instructies voor het uploaden en beheren van deze certificaten.

• SNI-certificaten
• KeyVault-gehoste certificaten

Zodra u het certificaat aan uw App Service-app of functie-app hebt toegevoegd, kunt u er een aangepaste domeinnaam mee beveiligen of gebruiken in uw toepassingscode.

Beperkingen

Door App Service beheerde certificaten worden niet ondersteund voor apps die worden gehost in een App Service-omgeving.

TLS-instellingen

U kunt de TLS-instelling configureren op app-niveau.

Privéclientcertificaat

Een veelvoorkomende use-case is het configureren van uw app als een client in een clientservermodel. Als u uw server beveiligt met een privé-CA-certificaat, moet u het clientcertificaat (.cer bestand) uploaden naar uw app. Met de volgende instructies worden certificaten geladen in het vertrouwensarchief van de werknemers waarop uw app wordt uitgevoerd. U hoeft het certificaat slechts eenmaal te uploaden om het te gebruiken met apps die zich in hetzelfde App Service-plan bevinden.

Notitie

Persoonlijke clientcertificaten worden alleen ondersteund vanuit aangepaste code in Windows-code-apps. Privéclientcertificaten worden niet ondersteund buiten de app. Dit beperkt het gebruik in scenario's zoals het ophalen van de containerinstallatiekopie van de app uit een register met behulp van een privécertificaat en TLS dat via de front-endservers wordt geverifieerd met behulp van een privécertificaat.

Volg deze stappen om het certificaat (.cer-bestand ) te uploaden naar uw app in uw App Service Environment. Het .cer-bestand kan worden geëxporteerd uit uw certificaat. Voor testdoeleinden is er een PowerShell-voorbeeld aan het einde om een tijdelijk zelfondertekend certificaat te genereren:

1. Ga naar de app die het certificaat nodig heeft in Azure Portal

2. Ga naar Certificaten in de app. Selecteer Een openbaar sleutelcertificaat (.cer). Selecteer Certificaat toevoegen. Geef een naam op. Blader en selecteer uw .cer-bestand . Selecteer uploaden.

3. Kopieer de vingerafdruk.

4. Ga naar Configuratietoepassingsinstellingen>. Maak een app-instelling WEBSITE_LOAD_ROOT_CERTIFICATES met de vingerafdruk als waarde. Als u meerdere certificaten hebt, kunt u deze in dezelfde instelling plaatsen, gescheiden door komma's en geen witruimte, zoals

   84EC242A4EC7957817B8E48913E5095352DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Het certificaat is beschikbaar voor alle apps in hetzelfde App Service-plan als de app, die die instelling heeft geconfigureerd, maar alle apps die afhankelijk zijn van het privé-CA-certificaat moeten de toepassingsinstelling hebben geconfigureerd om timingproblemen te voorkomen.

Als u wilt dat deze beschikbaar is voor apps in een ander App Service-plan, moet u de app-instellingsbewerking herhalen voor de apps in dat App Service-plan. Als u wilt controleren of het certificaat is ingesteld, gaat u naar de Kudu-console en geeft u de volgende opdracht uit in de PowerShell-console voor foutopsporing:

dir Cert:\LocalMachine\Root

Als u tests wilt uitvoeren, kunt u een zelfondertekend certificaat maken en een .cer-bestand genereren met de volgende PowerShell:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certificaat van privéserver

Als uw app fungeert als een server in een clientservermodel, achter een omgekeerde proxy of rechtstreeks met een privéclient en u een privé-CA-certificaat gebruikt, moet u het servercertificaat (PFX-bestand ) uploaden met de volledige certificaatketen naar uw app en het certificaat verbinden met het aangepaste domein. Omdat de infrastructuur is toegewezen aan uw App Service Environment, wordt de volledige certificaatketen toegevoegd aan het vertrouwensarchief van de servers. U hoeft het certificaat slechts eenmaal te uploaden om het te gebruiken met apps die zich in dezelfde App Service-omgeving bevinden.

Notitie

Als u uw certificaat vóór 1 hebt geüpload. Oktober 2023 moet u het certificaat opnieuw laden en opnieuw koppelen voor de volledige certificaatketen die moet worden toegevoegd aan de servers.

Volg het beveiligde aangepaste domein met TLS/SSL-zelfstudie om uw privé-CA-geroot certificaat te uploaden/te binden aan de app in uw App Service-omgeving.

Volgende stappen

• Informatie over het gebruik van certificaten in toepassingscode