Overzicht van certificaten voor Azure Cloud Services (classic)
Belangrijk
Cloud Services (klassiek) is vanaf 1 september 2024 afgeschaft voor alle klanten. Bestaande actieve implementaties worden gestopt en afgesloten door Microsoft en de gegevens gaan vanaf oktober 2024 permanant verloren. Nieuwe implementaties moeten gebruikmaken van het nieuwe op Azure Resource Manager gebaseerde implementatiemodel Azure Cloud Services (uitgebreide ondersteuning).
Certificaten worden gebruikt in Azure voor cloudservices (servicecertificaten) en voor verificatie met de beheer-API (beheercertificaten). Dit artikel bevat een algemeen overzicht van beide certificaattypen, het maken en implementeren ervan in Azure.
Certificaten die worden gebruikt in Azure zijn x.509 v3-certificaten. Ze kunnen zichzelf ondertekenen of een ander vertrouwd certificaat kan ze ondertekenen. Een certificaat is zelfondertekend wanneer de maker het ondertekent. Zelfondertekende certificaten worden niet standaard vertrouwd, maar de meeste browsers kunnen dit probleem negeren. U moet alleen zelfondertekende certificaten gebruiken bij het ontwikkelen en testen van uw cloudservices.
Certificaten die door Azure worden gebruikt, kunnen een openbare sleutel bevatten. Certificaten hebben een vingerafdruk die een manier biedt om ze op een ondubbelzinnige manier te identificeren. Deze vingerafdruk wordt gebruikt in het Azure-configuratiebestand om te bepalen welk certificaat een cloudservice moet gebruiken.
Notitie
Azure Cloud Services accepteert geen met AES256-SHA256 versleuteld certificaat.
Wat zijn servicecertificaten?
Servicecertificaten zijn gekoppeld aan cloudservices en bieden beveiligde communicatie van en naar de service. Als u bijvoorbeeld een webrol hebt geïmplementeerd, wilt u een certificaat opgeven waarmee een beschikbaar GEMAAKT HTTPS-eindpunt kan worden geverifieerd. Servicecertificaten, gedefinieerd in uw servicedefinitie, worden automatisch geïmplementeerd op de virtuele machine waarop een exemplaar van uw rol wordt uitgevoerd.
U kunt servicecertificaten uploaden naar Azure met behulp van Azure Portal of het klassieke implementatiemodel. Servicecertificaten zijn gekoppeld aan een specifieke cloudservice. Het servicedefinitiebestand wijst deze toe aan een implementatie.
Servicecertificaten kunnen afzonderlijk van uw services worden beheerd en verschillende personen kunnen deze beheren. Een ontwikkelaar kan bijvoorbeeld een servicepakket uploaden dat verwijst naar een certificaat dat een IT-manager eerder naar Azure heeft geüpload. Een IT-beheerder kan dat certificaat beheren en vernieuwen (de configuratie van de service wijzigen) zonder dat er een nieuw servicepakket hoeft te worden geüpload. Bijwerken zonder een nieuw servicepakket is mogelijk omdat de logische naam, winkelnaam en locatie van het certificaat zich in het servicedefinitiebestand bevinden en terwijl de vingerafdruk van het certificaat is opgegeven in het serviceconfiguratiebestand. Als u het certificaat wilt bijwerken, hoeft u alleen een nieuw certificaat te uploaden en de waarde voor de vingerafdruk te wijzigen in het serviceconfiguratiebestand.
Notitie
De veelgestelde vragen over Cloud Services - Artikel over configuratie en beheer bevat nuttige informatie over certificaten.
Wat zijn beheercertificaten?
Met beheercertificaten kunt u het klassieke implementatiemodel gebruiken voor verificatie. Voor veel programma's en hulpprogramma's (zoals Visual Studio of de Azure SDK) worden deze certificaten gebruikt om de configuratie en implementatie van verschillende Azure-services te automatiseren. Deze certificaten zijn niet gerelateerd aan cloudservices.
Waarschuwing
Wees voorzichtig! Met deze typen certificaten kan iedereen die met hen verifieert het abonnement beheren waaraan ze zijn gekoppeld.
Beperkingen
Er geldt een limiet van 100 beheercertificaten per abonnement. Er geldt ook een limiet van 100 beheercertificaten voor alle abonnementen onder de gebruikers-id van een specifieke servicebeheerder. Als de gebruikers-id voor de accountbeheerder al is gebruikt om 100 beheercertificaten toe te voegen en er meer certificaten nodig zijn, kunt u een coadministrator toevoegen om meer certificaten toe te voegen.
Daarnaast kunnen beheercertificaten niet worden gebruikt met CSP-abonnementen (Cloud Solution Provider), omdat CSP-abonnementen alleen ondersteuning bieden voor het Azure Resource Manager-implementatiemodel en beheercertificaten het klassieke implementatiemodel gebruiken. Raadpleeg Azure Resource Manager versus het klassieke implementatiemodel en Understanding Authentication met de Azure SDK voor .NET voor meer informatie over uw opties voor CSP-abonnementen.
Een nieuw zelfondertekend certificaat maken
U kunt elk hulpprogramma gebruiken dat beschikbaar is om een zelfondertekend certificaat te maken zolang ze voldoen aan deze instellingen:
Een X.509-certificaat.
Bevat een openbare sleutel.
Gemaakt voor sleuteluitwisseling (PFX-bestand).
De onderwerpnaam moet overeenkomen met het domein dat wordt gebruikt voor toegang tot de cloudservice.
U kunt geen TLS/SSL-certificaat verkrijgen voor het cloudapp.net (of voor een Azure-gerelateerd) domein; de onderwerpnaam van het certificaat moet overeenkomen met de aangepaste domeinnaam die wordt gebruikt voor toegang tot uw toepassing. Bijvoorbeeld contoso.net, niet contoso.cloudapp.net.
Minimaal 2048-bits versleuteling.
Alleen servicecertificaat: het certificaat aan de clientzijde moet zich in het persoonlijke certificaatarchief bevinden.
Er zijn twee eenvoudige manieren om een certificaat te maken in Windows, met het makecert.exe hulpprogramma of IIS.
Makecert.exe
Dit hulpprogramma is buiten gebruik gesteld en wordt hier niet meer gedocumenteerd. Zie het artikel Microsoft Developer Network (MSDN) voor meer informatie.
Powershell
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Notitie
Als u het certificaat wilt gebruiken met een IP-adres in plaats van een domein, gebruikt u het IP-adres in de parameter -DnsName.
Als u dit certificaat wilt gebruiken met de beheerportal, exporteert u het naar een .cer-bestand :
Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer
Internet Information Services (IIS)
Er zijn veel pagina's op internet die betrekking hebben op het maken van certificaten met IIS, zoals Wanneer een zelfondertekend IIS-certificaat gebruiken.
Linux
Snelle stappen: Het maken en gebruiken van een openbaar-persoonlijk SSH-sleutelpaar voor Linux-VM's in Azure beschrijft hoe u certificaten maakt met SSH.
Volgende stappen
Upload uw servicecertificaat naar Azure Portal.
Upload een beheer-API-certificaat naar Azure Portal.