Udostępnij za pośrednictwem

Używanie certyfikatów TLS/SSL w aplikacji w usłudze Azure Spring Apps

  • Artykuł

Uwaga

Plany Podstawowa, Standardowa i Enterprise zostaną wycofane od połowy marca 2025 r. z 3-letnim okresem emerytalnym. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Zużycie standardowe i dedykowany plan zostaną wycofane od 30 września 2024 r. z całkowitym zamknięciem po sześciu miesiącach. Zalecamy przejście do usługi Azure Container Apps. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy: ✔️ Podstawowa/Standardowa ✔️ Enterprise

W tym artykule pokazano, jak używać certyfikatów publicznych w usłudze Azure Spring Apps dla aplikacji. Aplikacja może działać jako klient i uzyskiwać dostęp do usługi zewnętrznej, która wymaga uwierzytelniania certyfikatu lub może wymagać wykonywania zadań kryptograficznych.

Gdy zezwolisz usłudze Azure Spring Apps na zarządzanie certyfikatami TLS/SSL, możesz zachować certyfikaty i kod aplikacji oddzielnie w celu ochrony poufnych danych. Kod aplikacji może uzyskiwać dostęp do certyfikatów publicznych dodanych do wystąpienia usługi Azure Spring Apps.

Wymagania wstępne

Importowanie certyfikatu

Możesz zaimportować certyfikat do wystąpienia usługi Azure Spring Apps z usługi Key Vault lub użyć lokalnego pliku certyfikatu.

Importowanie certyfikatu z usługi Key Vault

Przed zaimportowanie certyfikatu musisz przyznać usłudze Azure Spring Apps dostęp do magazynu kluczy.

Usługa Azure Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która działa na płaszczyźnie kontroli i danych platformy Azure oraz model zasad dostępu, który działa samodzielnie na płaszczyźnie danych.

Aby udzielić dostępu, wykonaj następujące czynności:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Magazyny kluczy, a następnie wybierz magazyn kluczy, z którego importujesz certyfikat.

  3. W okienku nawigacji wybierz pozycję Zasady dostępu, a następnie wybierz pozycję Utwórz.

  4. Wybierz pozycję Uprawnienia certyfikatu, a następnie wybierz pozycję Pobierz i Wyświetl.

    Zrzut ekranu witryny Azure Portal przedstawiający stronę Tworzenie zasad dostępu z wyświetlonym okienkiem Uprawnienia i wyróżnionymi uprawnieniami Pobierz i Lista.

  5. W obszarze Podmiot zabezpieczeń wybierz pozycję Azure Spring Cloud Resource Provider.

    Zrzut ekranu witryny Azure Portal przedstawiający kartę Tworzenie jednostki zasad dostępu z wyróżnioną pozycją Azure Spring Cloud Resource Provider.

  6. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Po udzieleniu dostępu do magazynu kluczy możesz zaimportować certyfikat, wykonując następujące kroki:

  1. Przejdź do wystąpienia usługi.

  2. W okienku nawigacji po lewej stronie wystąpienia wybierz pozycję Ustawienia protokołu TLS/SSL.

  3. Wybierz pozycję Importuj certyfikat usługi Key Vault w sekcji Certyfikaty kluczy publicznych.

  4. Wybierz magazyn kluczy w sekcji Magazyny kluczy, wybierz certyfikat w sekcji Certyfikat , a następnie wybierz pozycję Wybierz.

  5. Podaj wartość w polu Nazwa certyfikatu, wybierz pozycję Włącz automatyczną synchronizację w razie potrzeby, a następnie wybierz pozycję Zastosuj. Aby uzyskać więcej informacji, zobacz sekcję Automatyczne synchronizowanie certyfikatów w temacie Mapuj istniejącą domenę niestandardową na usługę Azure Spring Apps.

Po pomyślnym zaimportowaniu certyfikatu zobaczysz go na liście Certyfikaty kluczy publicznych.

Uwaga

Wystąpienia usługi Azure Key Vault i Azure Spring Apps powinny znajdować się w tej samej dzierżawie.

Importowanie pliku certyfikatu lokalnego

Plik certyfikatu przechowywany lokalnie można zaimportować, wykonując następujące kroki:

  1. Przejdź do wystąpienia usługi.
  2. W okienku nawigacji po lewej stronie wystąpienia wybierz pozycję Ustawienia protokołu TLS/SSL.
  3. Wybierz pozycję Przekaż certyfikat publiczny w sekcji Certyfikaty kluczy publicznych.

Po pomyślnym zaimportowaniu certyfikatu zobaczysz go na liście Certyfikaty kluczy publicznych.

Ładowanie certyfikatu

Aby załadować certyfikat do aplikacji w usłudze Azure Spring Apps, zacznij od następujących kroków:

  1. Przejdź do wystąpienia aplikacji.
  2. W okienku nawigacji po lewej stronie aplikacji wybierz pozycję Zarządzanie certyfikatami.
  3. Wybierz pozycję Dodaj certyfikat, aby wybrać certyfikaty dostępne dla aplikacji.

Zrzut ekranu witryny Azure Portal przedstawiający stronę zarządzanie certyfikatami z wyróżnionym przyciskiem Dodaj certyfikat.

Ładowanie certyfikatu z kodu

Załadowane certyfikaty są dostępne w folderze /etc/azure-spring-cloud/certs/public . Użyj następującego kodu Java, aby załadować certyfikat publiczny w aplikacji w usłudze Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Ładowanie certyfikatu do magazynu zaufania

W przypadku aplikacji Java możesz wybrać pozycję Załaduj do magazynu zaufania dla wybranego certyfikatu. Certyfikat jest automatycznie dodawany do domyślnych magazynów zaufania Java w celu uwierzytelniania serwera w uwierzytelnianiu tls/SSL.

Poniższy dziennik z aplikacji pokazuje, że certyfikat został pomyślnie załadowany.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Następne kroki