Een bestaand aangepast domein toewijzen aan Azure Spring Apps

Notitie

Azure Spring Apps is de nieuwe naam voor de Azure Spring Cloud-service. Hoewel de service een nieuwe naam heeft, ziet u de oude naam op sommige plaatsen terwijl we werken aan het bijwerken van assets, zoals schermopnamen, video's en diagrammen.

Dit artikel is van toepassing op: ✔️ Java ✔️ C#

Dit artikel is van toepassing op: ✔️ Standard ✔️ Enterprise

Domain Name Service (DNS) is een techniek voor het opslaan van namen van netwerkknooppunten in een netwerk. In dit artikel wordt een domein toegewezen, zoals www.contoso.comeen CNAME-record. Het aangepaste domein wordt beveiligd met een certificaat en laat zien hoe u Transport Layer Security (TLS) afdwingt, ook wel bekend als Secure Sockets Layer (SSL).

Certificaten versleutelen webverkeer. Deze TLS/SSL-certificaten kunnen worden opgeslagen in Azure Key Vault.

Vereisten

• Een Azure-abonnement. Als u geen abonnement hebt, maakt u een gratis account voordat u begint.
• (Optioneel) Azure CLI versie 2.45.0 of hoger. Gebruik de volgende opdracht om de Azure Spring Apps-extensie te installeren: az extension add --name spring
• Een toepassing die is geïmplementeerd in Azure Spring Apps (zie Quickstart: Een bestaande toepassing starten in Azure Spring Apps met behulp van Azure Portal of een bestaande app gebruiken). Als uw toepassing is geïmplementeerd met behulp van het Basic-abonnement, moet u een upgrade uitvoeren naar het Standard-abonnement.
• Een domeinnaam met toegang tot het DNS-register voor een domeinprovider, zoals GoDaddy.
• Een persoonlijk certificaat (dat wil zeggen uw zelfondertekende certificaat) van een externe provider. Het certificaat moet overeenkomen met het domein.
• Een geïmplementeerd exemplaar van Azure Key Vault. Zie Over Azure Key Vault voor meer informatie.

Overwegingen voor Private Link in Key Vault

De IP-adressen voor Azure Spring Apps-beheer maken nog geen deel uit van de vertrouwde Azure-Microsoft-services. Als u wilt dat Azure Spring Apps certificaten laadt vanuit een Sleutelkluis die is beveiligd met privé-eindpuntverbindingen, moet u daarom de volgende IP-adressen toevoegen aan de Azure Key Vault-firewall:

• 20.99.204.111
• 20.201.9.97
• 20.74.97.5
• 52.235.25.35
• 20.194.10.0
• 20.59.204.46
• 104.214.186.86
• 52.153.221.222
• 52.160.137.39
• 20.39.142.56
• 20.199.190.222
• 20.79.64.6
• 20.211.128.96
• 52.149.104.144
• 20.197.121.209
• 40.119.175.77
• 20.108.108.22
• 102.133.143.38
• 52.226.244.150
• 20.84.171.169
• 20.93.48.108
• 20.75.4.46
• 20.78.29.213
• 20.106.86.34
• 20.193.151.132

Certificaat importeren

U certificaatbestand voorbereiden in PFX (optioneel)

Azure Key Vault biedt ondersteuning voor het importeren van een privécertificaat in PEM- en PFX-indeling. Als het PEM-bestand dat u hebt verkregen van uw certificaatprovider niet werkt in de sectie Certificaat opslaan in Key Vault , volgt u de stappen hier om een PFX voor Azure Key Vault te genereren.

Tussenliggende certificaten samenvoegen

Als uw certificeringsinstantie meerdere certificaten in de certificaatketen geeft, moet u de certificaten in de juiste volgorde samenvoegen.

Als u deze taak wilt uitvoeren, opent u elk certificaat dat u in een teksteditor hebt ontvangen.

Maak een bestand voor het samengevoegde certificaat met de naam mergedcertificate.crt. Kopieer de inhoud van elk certificaat in dit bestand in een teksteditor. De volgorde van uw certificaten moet de volgorde in de certificaatketen volgen, beginnend met uw certificaat en eindigend met het hoofdcertificaat. Het lijkt op het volgende voorbeeld:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Certificaat naar PFX exporteren

Exporteer uw samengevoegde TLS/SSL-certificaat met de persoonlijke sleutel die met uw certificaataanvraag is gegenereerd.

Als u de certificaataanvraag met OpenSSL hebt gegenereerd, hebt u een bestand met een persoonlijke sleutel gemaakt. Voer de volgende opdracht uit om uw certificaat naar PFX te exporteren. Vervang de tijdelijke aanduidingen <voor het persoonlijke-sleutelbestand> en <het samengevoegde-certificaatbestand> door de paden naar uw persoonlijke sleutel en het samengevoegde certificaatbestand.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Wanneer u daarom wordt gevraagd, geeft u een wachtwoord voor export op. Gebruik dit wachtwoord bij het uploaden van uw TLS/SSL-certificaat naar Azure Key Vault later.

Als u IIS of Certreq.exe hebt gebruikt voor het genereren van uw certificaataanvraag, installeert u het certificaat op uw lokale computer en exporteert u het certificaat naar PFX.

Certificaat opslaan in Key Vault

Voor de procedure voor het importeren van een certificaat moet het PEM-of PFX-bestand op een schijf staan en moet u de persoonlijke sleutel hebben.

Azure-portal

Gebruik de volgende stappen om uw certificaat te uploaden naar de sleutelkluis:

1. Ga naar uw sleutelkluis-exemplaar.

2. Selecteer Certificaten in het navigatiedeelvenster.

3. Selecteer Genereren/importeren in het bovenste menu.

4. Selecteer op de pagina Een certificaat maken de optie Importeren voor het maken van certificaten en geef een waarde op voor de certificaatnaam.

5. Ga in Certificaatbestand uploaden naar de locatie van het certificaat en selecteer dit.

6. Als u een met een wachtwoord beveiligd certificaatbestand uploadt, geeft u dat wachtwoord hier op. Als dat niet het geval is, laat u dit veld leeg. Zodra het certificaatbestand is geïmporteerd, wordt dat wachtwoord door de sleutelkluis verwijderd.

7. Selecteer Maken.

   

Azure-CLI

Gebruik de volgende opdracht om een certificaat te importeren:

az keyvault certificate import \
    --file <path-to-pfx-or-pem-file> \
    --name <certificate-name> \
    --vault-name <key-vault-name> \
    --password <password-if-needed>

Azure Spring Apps toegang verlenen tot uw sleutelkluis

U moet Azure Spring Apps toegang verlenen tot uw sleutelkluis voordat u het certificaat importeert.

Azure-portal

gebruik de volgende stappen om toegang te verlenen via Azure Portal:

1. Ga naar uw sleutelkluis-exemplaar.
2. Selecteer toegangsbeleid in het navigatiedeelvenster.
3. Selecteer Maken in het bovenste menu.
4. Vul de gegevens in en selecteer de knop Toevoegen en maak vervolgens toegangsbeleid.

Geheime machtiging	Certificaatmachtiging	Principal selecteren
Ophalen, Lijst	Ophalen, Lijst	Azure Spring Apps Domain-Management

Notitie

Als u het 'Azure Spring Apps Domain-Management' niet vindt, zoekt u naar 'Azure Spring Cloud Domain-Management'.

Azure-CLI

Gebruik de volgende opdracht om Azure Spring Apps leestoegang te verlenen tot de sleutelkluis:

az keyvault set-policy \
    --resource-group <key-vault-resource-group-name> \
    --name <key-vault-name> \
    --object-id 938df8e2-2b9d-40b1-940c-c75c33494239 \
    --certificate-permissions get list \
    --secret-permissions get list

Certificaat importeren in Azure Spring Apps

Azure-portal

1. Ga naar uw Azure Spring Apps-exemplaar.

2. Selecteer in het navigatiedeelvenster TLS/SSL-instellingen.

3. Selecteer Sleutelkluiscertificaat importeren.

   

4. Selecteer op de pagina Certificaat selecteren in Azure het abonnement, de sleutelkluis en het certificaat in de vervolgkeuzelijst en kies vervolgens Selecteren.

   

5. Voer op de geopende pagina Certificaatnaam instellen uw certificaatnaam in, selecteer Indien nodig Automatisch synchroniseren inschakelen en selecteer vervolgens Toepassen. Zie de sectie Certificaat voor automatisch synchroniseren voor meer informatie.

   

6. Wanneer u uw certificaat hebt geïmporteerd, wordt dit weergegeven in de lijst met persoonlijke sleutelcertificaten.

   

Azure-CLI

Gebruik de volgende opdracht om een certificaat toe te voegen:

az spring certificate add \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --name <cert-name> \
    --vault-uri <key-vault-uri> \
    --vault-certificate-name <key-vault-cert-name> \
    --enable-auto-sync false

Als u automatische synchronisatie van certificaten wilt inschakelen, neemt u de --enable-auto-sync true instelling op wanneer u het certificaat toevoegt, zoals wordt weergegeven in het volgende voorbeeld. Zie de sectie Certificaat voor automatisch synchroniseren voor meer informatie.

az spring certificate add \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --name <cert-name> \
    --vault-uri <key-vault-uri> \
    --vault-certificate-name <key-vault-cert-name> \
    --enable-auto-sync true

Gebruik de volgende opdracht om een lijst met geïmporteerde certificaten weer te geven:

az spring certificate list \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name>

Belangrijk

Als u een aangepast domein met dit certificaat wilt beveiligen, moet u het certificaat binden aan het specifieke domein. Zie de sectie SSL-binding toevoegen voor meer informatie.

Certificaat automatisch synchroniseren

Een certificaat dat is opgeslagen in Azure Key Vault, wordt soms vernieuwd voordat het verloopt. Op dezelfde manier kan het beveiligingsbeleid van uw organisatie voor certificaatbeheer vereisen dat uw DevOps-team certificaten regelmatig vervangt door nieuwe. Nadat u automatische synchronisatie voor een certificaat hebt ingeschakeld, begint Azure Spring Apps uw sleutelkluis regelmatig te synchroniseren voor een nieuwe versie, meestal om de 24 uur. Als er een nieuwe versie beschikbaar is, importeert Azure Spring Apps deze en laadt deze vervolgens opnieuw voor verschillende onderdelen die gebruikmaken van het certificaat zonder downtime te veroorzaken. De volgende lijst bevat de betrokken onderdelen en relevante scenario's:

• App
  • Aangepast domein
• VMware Spring Cloud Gateway
  • Aangepast domein
• API-portal voor VMware Tanzu
  • Aangepast domein
• VMware Tanzu Application Accelerator
  • Verbinding maken naar een Git-opslagplaats met een zelfondertekend certificaat.
• Toepassingsconfiguratieservice voor Tanzu
  • Verbinding maken naar een Git-opslagplaats met een zelfondertekend certificaat.

Wanneer Azure Spring Apps een certificaat importeert of opnieuw laadt, wordt er een activiteitenlogboek gegenereerd. Als u de activiteitenlogboeken wilt zien, gaat u naar uw Azure Spring Apps-exemplaar in Azure Portal en selecteert u activiteitenlogboek in het navigatiedeelvenster.

Notitie

De functie voor automatisch synchroniseren van certificaten werkt met persoonlijke certificaten en openbare certificaten die zijn geïmporteerd uit Azure Key Vault. Deze functie is niet beschikbaar voor inhoudscertificaten die de klant uploadt.

U kunt de functie voor automatische synchronisatie van certificaten in- of uitschakelen wanneer u een certificaat uit uw sleutelkluis importeert in Azure Spring Apps. Zie de sectie Certificaat importeren in Azure Spring Apps voor meer informatie.

U kunt deze functie ook in- of uitschakelen voor een certificaat dat al is geïmporteerd in Azure Spring Apps.

Azure-portal

Gebruik de volgende stappen om automatische synchronisatie voor een geïmporteerd certificaat in of uit te schakelen:

1. Ga naar de lijst met certificaten voor persoonlijke sleutels of certificaten van openbare sleutels.

2. Selecteer de knop met het beletselteken (...) na de kolom Automatisch synchroniseren en selecteer vervolgens Automatisch synchroniseren inschakelen of Automatische synchronisatie uitschakelen.

   

Azure-CLI

Gebruik de volgende opdracht om automatische synchronisatie in te schakelen voor een geïmporteerd certificaat:

az spring certificate update \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --name <cert-name> \
    --enable-auto-sync true

Gebruik de volgende opdracht om automatische synchronisatie voor een geïmporteerd certificaat uit te schakelen:

az spring certificate update \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --name <cert-name> \
    --enable-auto-sync false

Aangepast domein toevoegen

U kunt een CNAME-record gebruiken om een aangepaste DNS-naam toe te wijzen aan Azure Spring Apps.

Notitie

De A-record wordt niet ondersteund.

De CNAME-record maken

Ga naar uw DNS-provider en voeg een CNAME-record toe om uw domein toe te wijzen aan <service-name>.azuremicroservices.io. <service-name> Hier ziet u de naam van uw Azure Spring Apps-exemplaar. We ondersteunen het Wildcard-domein en -subdomein.

Nadat u de CNAME hebt toegevoegd, lijkt de pagina DNS-records op het volgende voorbeeld:

Uw aangepaste domein toewijzen aan de Azure Spring Apps-app

Als u geen toepassing in Azure Spring Apps hebt, volgt u de instructies in de quickstart: Uw eerste toepassing implementeren in Azure Spring Apps.

Azure-portal

Ga naar de toepassingspagina.

1. Selecteer Aangepast domein.

2. Vervolgens Aangepast domein toevoegen.

   

3. Typ de volledig gekwalificeerde domeinnaam waarvoor u een CNAME-record hebt toegevoegd, zoals www.contoso.com. Zorg ervoor dat het recordtype Hostname is ingesteld op CNAME (<service-name>.azuremicroservices.io)

4. Selecteer Valideren om de knop Toevoegen in te schakelen.

5. Selecteer Toevoegen.

   

Eén app kan meerdere domeinen hebben, maar één domein kan slechts aan één app worden toegewezen. Wanneer u uw aangepaste domein aan de app hebt toegewezen, wordt dit weergegeven in de tabel aangepast domein.

Azure-CLI

Gebruik de volgende opdracht om een aangepast domein te verbinden met de app:

az spring app custom-domain bind \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --domain-name <domain-name> \
    --app <app-name> 

Gebruik de volgende opdracht om de lijst met aangepaste domeinen weer te geven:

az spring app custom-domain list \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --app <app-name>

Notitie

Een Niet beveiligd label voor uw aangepaste domein betekent dat het nog niet is gebonden aan een SSL-certificaat. Elke HTTPS-aanvraag van een browser naar uw aangepaste domein ontvangt een foutmelding of waarschuwing.

SSL-binding toevoegen

Azure-portal

Selecteer in de tabel aangepast domein SSL-binding toevoegen zoals in de vorige afbeelding wordt weergegeven.

1. Selecteer uw Certificaat of importeer het.

2. Selecteer Opslaan.

   

Azure-CLI

Gebruik de volgende opdracht om een aangepast domein van de app bij te werken.

az spring app custom-domain update \
    --resource-group <resource-group-name>  \
    --service <service-name> \
    --domain-name <domain-name> \
    --certificate <cert-name> \
    --app <app-name>

Nadat u SSL-binding hebt toegevoegd, is de domeinstatus beveiligd: In orde.

HTTPS afdwingen

Standaard kan iedereen nog steeds toegang krijgen tot uw app met behulp van HTTP, maar u kunt alle HTTP-aanvragen omleiden naar de HTTPS-poort.

Azure-portal

Selecteer in de navigatie op de pagina van uw app de optie Aangepast domein. Stel vervolgens ALLEEN HTTPS in op Yes.

Azure-CLI

Gebruik de volgende opdracht om de configuraties van een app bij te werken.

az spring app update \
    --resource-group <resource-group-name> \
    --service <Azure-Spring-Apps-instance-name> \
    --name <app-name> \
    --https-only

Wanneer de bewerking is voltooid, gaat u naar een van de HTTPS-URL's die naar uw app verwijzen. Houd er rekening mee dat HTTP-URL's niet werken.

Volgende stappen

• Wat is Azure Key Vault?
• Certificaat importeren
• TLS/SSL-certificaten gebruiken