Certyfikaty i App Service Environment

Uwaga

Ten artykuł dotyczy App Service Environment v3, który jest używany z planami Serviço de Aplicativo izolowanych w wersji 2

App Service Environment to wdrożenie Служба приложений Azure, które działa w sieci wirtualnej platformy Azure. Można go wdrożyć za pomocą internetowego punktu końcowego aplikacji lub punktu końcowego aplikacji, który znajduje się w sieci wirtualnej. W przypadku wdrożenia App Service Environment z internetowym dostępnym punktem końcowym wdrożenie jest nazywane App Service Environment zewnętrznym. Jeśli wdrożysz App Service Environment z punktem końcowym w sieci wirtualnej, to wdrożenie jest nazywane App Service Environment wewnętrznym modułem równoważenia obciążenia. Więcej informacji na temat App Service Environment ILB można uzyskać w dokumencie Tworzenie i używanie App Service Environment modułu równoważenia obciążenia.

Certyfikaty aplikacji

Aplikacje hostowane w App Service Environment obsługują następujące funkcje certyfikatów skoncentrowane na aplikacji, które są również dostępne w wielodostępnej Serviço de Aplicativo. Aby uzyskać wymagania i instrukcje dotyczące przekazywania tych certyfikatów i zarządzania nimi, zobacz Dodawanie certyfikatu TLS/SSL w Служба приложений Azure.

• Certyfikaty SNI
• Certyfikaty hostowane w usłudze KeyVault

Po dodaniu certyfikatu do aplikacji Serviço de Aplicativo lub aplikacji funkcji możesz zabezpieczyć niestandardową nazwę domeny za pomocą niego lub użyć go w kodzie aplikacji.

Ograniczenia

Serviço de Aplicativo certyfikaty zarządzane nie są obsługiwane w aplikacjach hostowanych w App Service Environment.

Ustawienia protokołu TLS

Ustawienie protokołu TLS można skonfigurować na poziomie aplikacji.

Certyfikat klienta prywatnego

Typowym przypadkiem użycia jest skonfigurowanie aplikacji jako klienta w modelu klient-serwer. W przypadku zabezpieczenia serwera przy użyciu certyfikatu prywatnego urzędu certyfikacji należy przekazać certyfikat klienta (plik cer ) do aplikacji. Poniższe instrukcje ładują certyfikaty do magazynu zaufania procesów roboczych uruchomionych w aplikacji. Certyfikat należy przekazać tylko raz, aby używać go z aplikacjami, które znajdują się w tym samym planie Serviço de Aplicativo.

Uwaga

Certyfikaty klienta prywatnego są obsługiwane tylko z kodu niestandardowego w aplikacjach kodu systemu Windows. Certyfikaty klienta prywatnego nie są obsługiwane poza aplikacją. Ogranicza to użycie w scenariuszach, takich jak ściąganie obrazu kontenera aplikacji z rejestru przy użyciu certyfikatu prywatnego i weryfikowanie protokołu TLS przez serwery frontonu przy użyciu certyfikatu prywatnego.

Wykonaj następujące kroki, aby przekazać certyfikat (plik cer) do aplikacji w App Service Environment. Plik cer można wyeksportować z certyfikatu. Na potrzeby testowania znajduje się przykład programu PowerShell na końcu, aby wygenerować tymczasowy certyfikat z podpisem własnym:

1. Przejdź do aplikacji, która wymaga certyfikatu w Azure-Portal

2. Przejdź do pozycji Certyfikaty w aplikacji. Wybierz pozycję Certyfikat klucza publicznego (cer). Wybierz pozycję Dodaj certyfikat. Podaj nazwę Przeglądaj i wybierz plik cer . Wybierz pozycję Przekaż.

3. Skopiuj odcisk palca.

4. Przejdź do pozycjiUstawienia aplikacjikonfiguracji>. Utwórz ustawienie aplikacji WEBSITE_LOAD_ROOT_CERTIFICATES z odciskiem palca jako wartością. Jeśli masz wiele certyfikatów, możesz umieścić je w tym samym ustawieniu oddzielonym przecinkami i bez odstępów, takich jak

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certyfikat jest dostępny dla wszystkich aplikacji w tym samym planie usługi App Service co aplikacja, która skonfigurowała to ustawienie, ale wszystkie aplikacje zależne od certyfikatu prywatnego urzędu certyfikacji powinny mieć ustawienie aplikacji skonfigurowane, aby uniknąć problemów z chronometrażem.

Jeśli potrzebujesz go dla aplikacji w innym planie Serviço de Aplicativo, musisz powtórzyć operację ustawienia aplikacji dla aplikacji w tym planie Serviço de Aplicativo. Aby sprawdzić, czy certyfikat jest ustawiony, przejdź do konsoli Kudu i wydaj następujące polecenie w konsoli debugowania programu PowerShell:

dir Cert:\LocalMachine\Root

Aby przeprowadzić testowanie, możesz utworzyć certyfikat z podpisem własnym i wygenerować plik cer przy użyciu następującego programu PowerShell:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certyfikat serwera prywatnego

Jeśli aplikacja działa jako serwer w modelu klient-serwer, za zwrotnym serwerem proxy lub bezpośrednio z klientem prywatnym i używasz prywatnego certyfikatu urzędu certyfikacji, musisz przekazać certyfikat serwera (plik pfx ) z pełnym łańcuchem certyfikatów do aplikacji i powiązać certyfikat z domeną niestandardową. Ponieważ infrastruktura jest przeznaczona dla App Service Environment, pełny łańcuch certyfikatów jest dodawany do magazynu zaufania serwerów. Wystarczy przekazać certyfikat raz, aby używać go z aplikacjami, które znajdują się w tej samej App Service Environment.

Uwaga

Jeśli certyfikat został przekazany przed 1. W październiku 2023 r. należy ponownie załadować i ponownie połączyć certyfikat, aby pełny łańcuch certyfikatów został dodany do serwerów.

Postępuj zgodnie z samouczkiem dotyczącym bezpiecznej domeny niestandardowej przy użyciu protokołu TLS/SSL, aby przekazać/powiązać certyfikat główny prywatnego urzędu certyfikacji z aplikacją w App Service Environment.

Następne kroki

• Informacje na temat używania certyfikatów w kodzie aplikacji