Samouczek: mapowania istniejącej domeny niestandardowej na usługę Azure Spring Apps
Uwaga
Azure Spring Apps to nowa nazwa usługi Azure Spring Cloud. Mimo że usługa ma nową nazwę, stara nazwa będzie widoczna w niektórych miejscach przez pewien czas, ponieważ pracujemy nad aktualizowaniem zasobów, takich jak zrzuty ekranu, filmy wideo i diagramy.
Ten artykuł dotyczy: ✔️ Java ✔️ C #
Ten artykuł dotyczy: ✔️ warstwa Enterprise w warstwie ✔️ Standardowa
Usługa dns (Domain Name Service) to technika przechowywania nazw węzłów sieciowych w sieci. Ten samouczek mapuje domenę, taką jak www.contoso.com, przy użyciu rekordu CNAME. Zabezpiecza domenę niestandardową przy użyciu certyfikatu i pokazuje, jak wymusić protokół Transport Layer Security (TLS), znany również jako Secure Sockets Layer (SSL).
Certyfikaty szyfrują ruch internetowy. Te certyfikaty TLS/SSL można przechowywać w usłudze Azure Key Vault.
Wymagania wstępne
- Aplikacja wdrożona w usłudze Azure Spring Apps (zobacz Szybki start: uruchamianie istniejącej aplikacji w usłudze Azure Spring Apps przy użyciu Azure Portal lub używanie istniejącej aplikacji).
- Nazwa domeny z dostępem do rejestru DNS dla dostawcy domeny, takiego jak GoDaddy.
- Certyfikat prywatny (czyli certyfikat z podpisem własnym) od dostawcy innej firmy. Certyfikat musi być zgodny z domeną.
- Wdrożone wystąpienie usługi Azure Key Vault
Key Vault zagadnienia dotyczące linków prywatnych
Adresy IP do zarządzania usługą Azure Spring Apps nie są jeszcze częścią zaufanych usług firmy Microsoft platformy Azure. W związku z tym aby umożliwić usłudze Azure Spring Apps ładowanie certyfikatów z Key Vault chronionego za pomocą połączeń prywatnych punktów końcowych, należy dodać następujące adresy IP do zapory usługi Azure Key Vault:
20.99.204.11120.201.9.9720.74.97.552.235.25.3520.194.10.020.59.204.46104.214.186.8652.153.221.22252.160.137.3920.39.142.5620.199.190.22220.79.64.620.211.128.9652.149.104.14420.197.121.20940.119.175.7720.108.108.22102.133.143.3852.226.244.15020.84.171.16920.93.48.10820.75.4.4620.78.29.21320.106.86.3420.193.151.132
Importowanie certyfikatu
Przygotowywanie pliku certyfikatu w pliku PFX (opcjonalnie)
Usługa Azure Key Vault obsługuje importowanie certyfikatu prywatnego w formacie PEM i PFX. Jeśli plik PEM uzyskany od dostawcy certyfikatów nie działa w poniższej sekcji: Zapisz certyfikat w Key Vault, wykonaj kroki opisane tutaj, aby wygenerować plik PFX dla usługi Azure Key Vault.
Scalanie certyfikatów pośrednich
Jeśli Twój urząd certyfikacji dał Ci wiele certyfikatów w łańcuchu certyfikatów, musisz kolejno scalić certyfikaty.
Aby to zrobić, otwórz każdy otrzymany certyfikat w edytorze tekstów.
Utwórz plik scalonego certyfikatu o nazwie mergedcertificate.crt. W edytorze tekstów skopiuj zawartość każdego certyfikatu do tego pliku. Kolejność certyfikatów powinna być zgodna z kolejnością w łańcuchu certyfikatów, poczynając od Twojego certyfikatu i kończąc na certyfikacie głównym. Wygląda to następująco:
-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----
Eksportowanie certyfikatu do pliku PFX
Wyeksportuj scalony certyfikat TLS/SSL z kluczem prywatnym wygenerowany przez żądanie certyfikatu.
Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, został utworzony plik klucza prywatnego. Aby wyeksportować certyfikat do pliku PFX, uruchom następujące polecenie. Zastąp symbole <zastępcze private-key-file> i <merged-certificate-file> ścieżkami do klucza prywatnego i scalonego pliku certyfikatu.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>
Po wyświetleniu monitu określ hasło eksportu. To hasło będzie używane podczas przekazywania certyfikatu TLS/SSL do usługi Azure Key Vault później.
Jeśli używasz usług IIS lub programu Certreq.exe do wygenerowania swojego żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.
Zapisywanie certyfikatu w Key Vault
Procedura importowania certyfikatu wymaga pliku zakodowanego PEM lub PFX na dysku i musi mieć klucz prywatny.
Aby przekazać certyfikat do magazynu kluczy:
Przejdź do wystąpienia magazynu kluczy.
W okienku nawigacji po lewej stronie wybierz pozycję Certyfikaty.
W górnym menu wybierz pozycję Generuj/importuj.
W oknie dialogowym Tworzenie certyfikatu w obszarze Metoda tworzenia certyfikatu wybierz pozycję
Import.W obszarze Przekaż plik certyfikatu przejdź do lokalizacji certyfikatu i wybierz go.
W obszarze Hasło, jeśli przekazujesz plik certyfikatu chronionego hasłem, podaj to hasło tutaj. W przeciwnym razie pozostaw to pole puste. Po pomyślnym zaimportowaniu pliku certyfikatu magazyn kluczy usunie to hasło.
Wybierz przycisk Utwórz.
Udzielanie usłudze Azure Spring Apps dostępu do magazynu kluczy
Przed zaimportowanie certyfikatu należy udzielić usłudze Azure Spring Apps dostępu do magazynu kluczy:
- Przejdź do wystąpienia magazynu kluczy.
- W okienku nawigacji po lewej stronie wybierz pozycję Zasady dostępu.
- W górnym menu wybierz pozycję Dodaj zasady dostępu.
- Wypełnij informacje, a następnie wybierz przycisk Dodaj , a następnie pozycję Zapisz zasady dostępu.
| Uprawnienie wpisu tajnego | Uprawnienie certyfikatu | Wybieranie podmiotu zabezpieczeń |
|---|---|---|
| Pobierz, Lista | Pobierz, Lista | Azure Spring Apps Domain-Management |
Uwaga
Jeśli nie znajdziesz dostawcy zasobów usługi Azure Spring Apps, wyszukaj ciąg "Azure Spring Cloud Resource Provider".
Importowanie certyfikatu do usługi Azure Spring Apps
Przejdź do wystąpienia usługi Azure Spring Apps.
W okienku nawigacji po lewej stronie wybierz pozycję Ustawienia protokołu TLS/SSL.
Wybierz pozycję Importuj certyfikat magazynu kluczy.
Po pomyślnym zaimportowaniu certyfikatu zobaczysz go na liście certyfikatów klucza prywatnego.
Ważne
Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal musisz powiązać certyfikat z określoną domeną. Wykonaj kroki opisane w tej sekcji: Dodawanie powiązania SSL.
Dodawanie Custom Domain
Możesz użyć rekordu CNAME, aby zamapować niestandardową nazwę DNS na usługę Azure Spring Apps.
Uwaga
Rekord A nie jest obsługiwany.
Tworzenie rekordu CNAME
Przejdź do dostawcy DNS i dodaj rekord CNAME, aby zamapować domenę na <service_name.azuremicroservices.io>. Tutaj <service_name> jest nazwą wystąpienia usługi Azure Spring Apps. Obsługujemy domenę z symbolami wieloznacznymi i domenę podrzędną. Po dodaniu rekordu CNAME strona rekordów DNS będzie wyglądać podobnie do następującego przykładu:
Mapuj domenę niestandardową na aplikację Azure Spring Apps
Jeśli nie masz aplikacji w usłudze Azure Spring Apps, postępuj zgodnie z instrukcjami w przewodniku Szybki start: uruchamianie istniejącej aplikacji w usłudze Azure Spring Apps przy użyciu Azure Portal.
Przejdź do strony aplikacji.
Wybierz pozycję Custom Domain.
Następnie dodaj Custom Domain.
Wpisz w pełni kwalifikowaną nazwę domeny, dla której dodano rekord CNAME, taki jak www.contoso.com. Upewnij się, że dla typu rekordu Nazwa hosta ustawiono wartość CNAME (<service_name.azuremicroservices.io>)
Wybierz pozycję Weryfikuj , aby włączyć przycisk Dodaj .
Wybierz pozycję Dodaj.
Jedna aplikacja może mieć wiele domen, ale jedna domena może mapować tylko na jedną aplikację. Po pomyślnym zamapowanym domenie niestandardowej na aplikację zobaczysz ją w tabeli domeny niestandardowej.
Uwaga
Etykieta nieubezpieczona dla domeny niestandardowej oznacza, że nie jest jeszcze powiązana z certyfikatem SSL. Każde żądanie HTTPS z przeglądarki do domeny niestandardowej będzie otrzymywać komunikat o błędzie lub ostrzeżeniu.
Dodawanie powiązania SSL
W tabeli domeny niestandardowej wybierz pozycję Dodaj powiązanie ssl , jak pokazano na poprzedniej ilustracji.
Wybierz certyfikat lub zaimportuj go.
Wybierz pozycję Zapisz.
Po pomyślnym dodaniu powiązania SSL stan domeny będzie bezpieczny: w dobrej kondycji.
Wymuszanie protokołu HTTPS
Domyślnie każda osoba może nadal uzyskiwać dostęp do aplikacji przy użyciu protokołu HTTP, ale można przekierować wszystkie żądania HTTP do portu HTTPS.
Na stronie aplikacji w obszarze nawigacji po lewej stronie wybierz pozycję Custom Domain. Następnie ustaw wartość Tylko protokół HTTPS na wartość True.
Po zakończeniu operacji przejdź do dowolnego z adresów URL HTTPS wskazujących aplikację. Pamiętaj, że adresy URL HTTP nie działają.