Udostępnij przez

Przypisz istniejącą domenę niestandardową do usługi Azure Spring Apps

Note

Plany Podstawowy, Standardowy i Enterprise weszły w okres wycofania z dniem 17 marca 2025 r. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Ten artykuł dotyczy:✅ Java ✅ C#

Ten artykuł dotyczy:✅ Standardowa ✅ Enterprise

Usługa dns (Domain Name Service) to technika przechowywania nazw węzłów sieciowych w sieci. Ten artykuł mapuje domenę, taką jak www.contoso.com, przy użyciu rekordu CNAME. Zabezpiecza domenę niestandardową przy użyciu certyfikatu i pokazuje, jak wymusić protokół Transport Layer Security (TLS), znany również jako Secure Sockets Layer (SSL).

Certyfikaty szyfrują ruch internetowy. Te certyfikaty TLS/SSL można przechowywać w usłudze Azure Key Vault.

Prerequisites

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto .
  • (Opcjonalnie) Interfejs wiersza polecenia platformy Azure w wersji 2.45.0 lub nowszej. Użyj następującego polecenia, aby zainstalować rozszerzenie Azure Spring Apps: az extension add --name spring
  • Aplikacja wdrożona w usłudze Azure Spring Apps (zobacz Szybki start: uruchamianie istniejącej aplikacji w usłudze Azure Spring Apps przy użyciu witryny Azure Portal lub używanie istniejącej aplikacji). Jeśli Twoja aplikacja jest wdrażana przy użyciu planu Podstawowego, pamiętaj o uaktualnieniu do planu Standardowego.
  • Nazwa domeny z dostępem do rejestru DNS dla dostawcy domeny, takiego jak GoDaddy.
  • Certyfikat prywatny (czyli certyfikat z podpisem własnym) od dostawcy innej firmy. Certyfikat musi być zgodny z domeną.
  • Wdrożona instancja usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).

Adresy IP zarządzania usługami Azure Spring Apps nie są jeszcze częścią zaufanych usług firmy Microsoft platformy Azure. W związku z tym aby umożliwić usłudze Azure Spring Apps ładowanie certyfikatów z usługi Key Vault chronionego za pomocą prywatnych połączeń punktu końcowego, należy dodać adresy IP płaszczyzny sterowania usługi Azure Spring Apps i tag usługi do zapory usługi Azure Key Vault.

Cloud Adresy IP Tag usługi
Public - 20.99.204.111
- 20.201.9.97
- 20.74.97.5
- 52.235.25.35
- 20.194.10.0
- 20.59.204.46
- 104.214.186.86
- 52.153.221.222
- 52.160.137.39
- 20.39.142.56
- 20.199.190.222
- 20.79.64.6
- 20.211.128.96
- 52.149.104.144
- 20.197.121.209
- 40.119.175.77
- 20.108.108.22
- 102.133.143.38
- 52.226.244.150
- 20.84.171.169
- 20.93.48.108
- 20.75.4.46
- 20.78.29.213
- 20.106.86.34
- 20.193.151.132		 SystemServiceAzureSpringAppsResourceProvider
Mooncake - 52.131.254.89
- 52.131.41.48
- 159.27.26.25		 N/A

Note

W celu zapewnienia zgodności z zabezpieczeniami usługa Azure Spring Apps zastąpi te adresy IP w chmurze publicznej nowymi adresami IP oznaczonymi tagiem SystemServiceAzureSpringAppsResourceProvider. Aby uniknąć przerw w działaniu usługi, dodaj znacznik usługi w zaporze tak szybko, jak to możliwe.

Importowanie certyfikatu

Przygotowywanie pliku certyfikatu w pliku PFX (opcjonalnie)

Usługa Azure Key Vault obsługuje importowanie certyfikatu prywatnego w formacie PEM i PFX. Jeśli plik PEM uzyskany od dostawcy certyfikatów nie działa w sekcji Zapisywanie certyfikatu w usłudze Key Vault , wykonaj kroki opisane tutaj, aby wygenerować plik PFX dla usługi Azure Key Vault.

Scalanie certyfikatów pośrednich

Jeśli urząd certyfikacji udostępnia wiele certyfikatów w łańcuchu certyfikatów, należy scalić certyfikaty we właściwej kolejności.

Aby wykonać to zadanie, otwórz każdy certyfikat otrzymany w edytorze tekstów.

Utwórz plik dla scalonego certyfikatu o nazwie mergedcertificate.crt. W edytorze tekstów skopiuj zawartość każdego certyfikatu do tego pliku. Kolejność certyfikatów powinna być zgodna z kolejnością w łańcuchu certyfikatów, począwszy od certyfikatu i kończąc na certyfikacie głównym. Wygląda to jak w poniższym przykładzie:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Eksportowanie certyfikatu do pliku PFX

Wyeksportuj scalony certyfikat TLS/SSL oraz klucz prywatny, za pomocą którego zostało wygenerowane żądanie certyfikatu.

Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, utworzono plik klucza prywatnego. Aby wyeksportować certyfikat do pfX, uruchom następujące polecenie. Zastąp placeholdery <private-key-file> i <merged-certificate-file> ścieżkami do klucza prywatnego oraz scalonego certyfikatu.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Po wyświetleniu monitu zdefiniuj hasło eksportu. Użyj tego hasła podczas przekazywania certyfikatu TLS/SSL do usługi Azure Key Vault później.

Jeśli użyto usług IIS lub Certreq.exe do wygenerowania żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.

Zapisywanie certyfikatu w usłudze Key Vault

Procedura importowania certyfikatu wymaga, aby plik zakodowany PEM lub PFX był na dysku i musi mieć klucz prywatny.

Wykonaj następujące kroki, aby przekazać certyfikat do Azure Key Vault:

  1. Przejdź do swojej instancji magazynu kluczy.

  2. W okienku nawigacji wybierz pozycję Certyfikaty.

  3. W górnym menu wybierz pozycję Generuj/importuj.

  4. Na stronie Tworzenie certyfikatu wybierz pozycję Importuj dla pozycji Metoda tworzenia certyfikatu, a następnie podaj wartość w polu Nazwa certyfikatu.

  5. W obszarze Przekaż plik certyfikatu przejdź do lokalizacji certyfikatu i wybierz go.

  6. W obszarze Hasło, jeśli przekazujesz plik certyfikatu chronionego hasłem, podaj to hasło tutaj. W przeciwnym razie pozostaw to pole puste. Po pomyślnym zaimportowaniu pliku certyfikatu magazyn kluczy usuwa to hasło.

  7. Wybierz Utwórz.

    Zrzut ekranu przedstawiający okno dialogowe Tworzenie certyfikatu w witrynie Azure Portal.

Udzielanie usłudze Azure Spring Apps dostępu do magazynu kluczy

Przed zaimportowanie certyfikatu musisz przyznać usłudze Azure Spring Apps dostęp do magazynu kluczy.

Aby udzielić dostępu przy użyciu witryny Azure Portal, wykonaj następujące kroki:

  1. Przejdź do swojej instancji magazynu kluczy.

  2. W okienku nawigacji wybierz pozycję Zasady dostępu.

  3. W górnym menu wybierz pozycję Utwórz.

  4. Wypełnij informacje, a następnie wybierz przycisk Dodaj , a następnie pozycję Utwórz zasady dostępu.

    Tajne uprawnienie Uprawnienie certyfikatu Wybierz główny podmiot
    Pobierz, Lista Pobierz, Lista Zarządzanie domeną w Azure Spring Apps

    Note

    Jeśli nie znajdziesz "Azure Spring Apps Domain-Management", wyszukaj frazę "Azure Spring Cloud Domain-Management".

    Zrzut ekranu strony Dodaj zasady dostępu w portalu Azure z wybranymi opcjami Pobierz i Wyświetl z uprawnień do tajemnic i z uprawnień do certyfikatów.

    Zrzut ekranu portalu Azure na stronie Utwórz zasady dostępu, z wybraną opcją Zarządzanie domeną usługi Azure Spring Apps w rozwijanej liście Wybierz principal.

Importowanie certyfikatu do usługi Azure Spring Apps

Aby zaimportować certyfikat, wykonaj następujące czynności:

  1. Przejdź do wystąpienia usługi Azure Spring Apps.

  2. W okienku nawigacji wybierz pozycję Ustawienia protokołu TLS/SSL.

  3. Wybierz Importuj certyfikat magazynu kluczy.

    Zrzut ekranu witryny Azure Portal przedstawiający stronę ustawień protokołu TLS/SSL z wyróżnionym przyciskiem Importuj certyfikat magazynu kluczy.

  4. Na stronie Wybieranie certyfikatu z platformy Azure wybierz z listy rozwijanej opcje Subskrypcja, Key Vault i Certyfikat , a następnie wybierz pozycję Wybierz.

    Zrzut ekranu witryny Azure Portal przedstawiający stronę Wybieranie certyfikatu na platformie Azure.

  5. Na otwartej stronie Ustaw nazwę certyfikatu wprowadź nazwę certyfikatu , wybierz pozycję Włącz automatyczną synchronizację w razie potrzeby, a następnie wybierz pozycję Zastosuj. Aby uzyskać więcej informacji, zobacz sekcję Auto sync certificate (Certyfikat automatycznej synchronizacji ).

    Zrzut ekranu przedstawiający okno dialogowe Ustawianie nazwy certyfikatu w witrynie Azure Portal.

  6. Po pomyślnym zaimportowaniu certyfikatu zostanie wyświetlony na liście Certyfikaty kluczy prywatnych.

    Zrzut ekranu witryny Azure Portal przedstawiający kartę Certyfikaty klucza prywatnego.

Important

Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, pamiętaj o powiązaniu certyfikatu z określoną domeną. Aby uzyskać więcej informacji, zobacz sekcję Dodawanie powiązania SSL .

Certyfikat automatycznej synchronizacji

Certyfikat przechowywany w usłudze Azure Key Vault czasami jest odnawiany przed jego wygaśnięciem. Podobnie zasady zabezpieczeń organizacji do zarządzania certyfikatami mogą wymagać, aby zespół DevOps regularnie zastępował certyfikaty nowymi. Po włączeniu automatycznej synchronizacji certyfikatu usługa Azure Spring Apps regularnie synchronizuje magazyn kluczy dla nowej wersji — zwykle co 24 godziny. Jeśli jest dostępna nowa wersja, usługa Azure Spring Apps importuje ją, a następnie ponownie ładuje ją dla różnych składników przy użyciu certyfikatu bez powodowania przestojów. Na poniższej liście przedstawiono objęte składniki i odpowiednie scenariusze:

Gdy usługa Azure Spring Apps importuje lub ponownie ładuje certyfikat, generowany jest dziennik aktywności. Aby wyświetlić dzienniki aktywności, przejdź do wystąpienia usługi Azure Spring Apps w witrynie Azure Portal i wybierz pozycję Dziennik aktywności w okienku nawigacji.

Note

Funkcja automatycznej synchronizacji certyfikatów współpracuje z certyfikatami prywatnymi i certyfikatami publicznymi zaimportowanymi z usługi Azure Key Vault. Ta funkcja jest niedostępna w przypadku certyfikatów zawartości przekazywanych przez klienta.

Funkcję automatycznej synchronizacji certyfikatów można włączyć lub wyłączyć podczas importowania certyfikatu z magazynu kluczy do usługi Azure Spring Apps. Aby uzyskać więcej informacji, zobacz sekcję Importowanie certyfikatu do usługi Azure Spring Apps .

Możesz również włączyć lub wyłączyć tę funkcję dla certyfikatu, który został już zaimportowany do usługi Azure Spring Apps.

Wykonaj następujące kroki, aby włączyć lub wyłączyć automatyczną synchronizację dla zaimportowanego certyfikatu:

  1. Przejdź do listy certyfikatów klucza prywatnego lub certyfikatów kluczy publicznych.

  2. Wybierz przycisk wielokropka (...) po kolumnie Automatyczna synchronizacja , a następnie wybierz pozycję Włącz automatyczną synchronizację lub Wyłącz automatyczną synchronizację.

    Zrzut ekranu witryny Azure Portal przedstawiający listę certyfikatów z otwartym menu wielokropka i wybraną opcją Włącz automatyczną synchronizację.

Dodawanie domeny niestandardowej

Możesz użyć rekordu CNAME, aby zamapować niestandardową nazwę DNS na usługę Azure Spring Apps.

Note

Rekord A nie jest obsługiwany.

Tworzenie rekordu CNAME

Przejdź do dostawcy DNS i dodaj rekord CNAME, aby zamapować domenę na <service-name>.azuremicroservices.io. Tutaj <service-name> to nazwa instancji Azure Spring Apps. Obsługujemy domenę z symbolami wieloznacznymi i domenę podrzędną.

Po dodaniu rekordu CNAME strona rekordów DNS przypomina następujący przykład:

Zrzut ekranu przedstawiający stronę rekordów DNS z wystąpieniem usługi Azure Spring Apps.

Przypisz domenę niestandardową do aplikacji Azure Spring Apps

Jeśli nie masz aplikacji w usłudze Azure Spring Apps, postępuj zgodnie z instrukcjami w przewodniku Szybki start: wdrażanie pierwszej aplikacji w usłudze Azure Spring Apps.

Wykonaj następujące kroki, aby powiązać domenę niestandardową z aplikacją:

  1. Przejdź do strony aplikacji.

  2. Wybierz Domenę niestandardową.

  3. Wybierz pozycję Dodaj domenę niestandardową.

    Zrzut ekranu portalu Azure, który pokazuje stronę z niestandardową domeną.

  4. Wpisz w pełni kwalifikowaną nazwę domeny, dla której dodano rekord CNAME, taki jak www.contoso.com. Upewnij się, że typ rekordu nazwy hosta jest ustawiony na CNAME — <service-name>.azuremicroservices.io.

  5. Wybierz pozycję Weryfikuj , aby włączyć przycisk Dodaj .

  6. Wybierz Dodaj.

    Zrzut ekranu przedstawiający okno dialogowe Dodawanie domeny niestandardowej w witrynie Azure Portal.

Jedna aplikacja może mieć wiele domen, ale jedna domena może mapować tylko na jedną aplikację. Gdy domena niestandardowa pomyślnie zostanie przypisana do aplikacji, wyświetli się w tabeli domen przypisanych do aplikacji.

Zrzut ekranu witryny Azure Portal przedstawiający tabelę domen niestandardowych.

Note

Etykieta Nieubezpieczona dla domeny niestandardowej oznacza, że nie jest jeszcze powiązana z certyfikatem SSL. Każde żądanie HTTPS z przeglądarki do własnej domeny powoduje błąd lub ostrzeżenie.

Dodawanie powiązania SSL

Aby zaktualizować domenę niestandardową aplikacji, wykonaj następujące czynności:

  1. W tabeli domen niestandardowych wybierz pozycję Dodaj powiązanie ssl , jak pokazano na poprzedniej ilustracji.

  2. Wybierz certyfikat lub zaimportuj go.

  3. Wybierz Zapisz.

    Zrzut ekranu witryny Azure Portal przedstawiający okienko powiązania TLS/SSL.

Po pomyślnym dodaniu powiązania SSL stan domeny jest bezpieczny: w dobrej kondycji.

Zrzut ekranu przedstawiający powiązanie SSL, które pokazuje stan domeny w dobrej kondycji.

Wymuszanie protokołu HTTPS

Domyślnie każda osoba nadal może uzyskać dostęp do aplikacji przy użyciu protokołu HTTP, ale możesz przekierować wszystkie żądania HTTP do portu HTTPS.

Na stronie Twojej aplikacji, w nawigacji, wybierz pozycję Domena niestandardowa. Następnie ustaw wartość Tylko protokół HTTPS na wartość Tak.

Zrzut ekranu przedstawiający powiązanie SSL z wyróżnioną opcją Tylko https.

Po zakończeniu operacji przejdź do dowolnego z adresów URL PROTOKOŁU HTTPS wskazujących aplikację. Pamiętaj, że adresy URL HTTP nie działają.

Dalsze kroki

  • Last updated on