Een aangepast CA-certificaat toevoegen in Azure API Management

Met Azure API Management kunt u CA-certificaten installeren op de computer in de vertrouwde basis- en tussenliggende certificaatarchieven. Deze functionaliteit moet worden gebruikt als uw services een aangepast CA-certificaat vereisen.

In het artikel wordt beschreven hoe u CA-certificaten van een Azure API Management-service-exemplaar beheert in Azure Portal. Als u bijvoorbeeld zelfondertekende clientcertificaten gebruikt, kunt u aangepaste vertrouwde basiscertificaten uploaden naar API Management.

CA-certificaten die naar API Management zijn geüpload, kunnen alleen worden gebruikt voor certificaatvalidatie door de beheerde API Management-gateway. Als u de zelf-hostende gateway gebruikt, leert u hoe u een aangepaste CA maakt voor zelf-hostende gateway, verderop in dit artikel.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Beschikbaarheid

Belangrijk

Deze functie is beschikbaar in de Premium-, Standard-, Basic- en Developer-lagen van API Management.

Zie het overzicht van v2-lagen voor beschikbaarheid van functies in de v2-lagen (preview).

Een CA-certificaat uploaden

CA certificates in the Azure portal

Volg de onderstaande stappen om een nieuw CA-certificaat te uploaden. Als u nog geen EXEMPLAAR van de API Management-service hebt gemaakt, raadpleegt u de zelfstudie Een API Management-service-exemplaar maken.

  1. Navigeer naar uw Azure API Management-service-exemplaar in Azure Portal.

  2. Selecteer in het menu onder Beveiliging certificaten > CA-certificaten > + Toevoegen.

  3. Blader naar het CER-bestand van het certificaat en bepaal het certificaatarchief. Alleen de openbare sleutel is nodig, dus het wachtwoord is optioneel.

    Add CA certificate in the Azure portal

  4. Selecteer Opslaan. Deze bewerking kan enkele minuten duren.

Notitie

  • Het proces voor het toewijzen van het certificaat kan 15 minuten of langer duren, afhankelijk van de grootte van de implementatie. De ontwikkelaars-SKU heeft downtime tijdens het proces. De Basic- en hogere SKU's hebben geen downtime tijdens het proces.
  • U kunt ook een CA-certificaat uploaden met behulp van de New-AzApiManagementSystemCertificate PowerShell-opdracht.

Een CA-certificaat verwijderen

Selecteer het certificaat en selecteer Verwijderen in het contextmenu (...).

Aangepaste CA maken voor zelf-hostende gateway

Als u een zelf-hostende gateway gebruikt, wordt validatie van server- en clientcertificaten met behulp van CA-basiscertificaten die zijn geüpload naar DE API Management-service niet ondersteund. Als u een vertrouwensrelatie tot stand wilt brengen, configureert u een specifiek clientcertificaat zodat het wordt vertrouwd door de gateway als een aangepaste certificeringsinstantie.

Gebruik de REST API's van de gateway-certificeringsinstantie om aangepaste CA's te maken en te beheren voor een zelf-hostende gateway. Een aangepaste CA maken:

  1. Voeg een PFX-certificaatbestand toe aan uw API Management-exemplaar.
  2. Gebruik de gatewaycertificaatinstantie : REST API maken of bijwerken om het certificaat te koppelen aan de zelfbeheerde gateway.