Usar certificados TLS/SSL no aplicativo no Azure Spring Apps

Observação

Os planos Básico, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de desativação de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira o anúncio de desativação dos Aplicativos Spring do Azure.

O plano Standard de consumo e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para mais informações, confira Migrar o plano Standard de consumo e dedicado dos Aplicativos Spring do Azure para os Aplicativos de Contêiner do Azure.

Este artigo se aplica ao: ✔️ nível Básico/Standard ✔️ nível Enterprise

Este artigo mostra como usar certificados públicos no Azure Spring Apps para seu aplicativo. O aplicativo pode atuar como um cliente e acessar um serviço externo que requer autenticação por certificado ou talvez precise executar tarefas criptográficas.

Ao permitir que o Azure Spring Apps gerencie os certificados TLS/SSL, você poderá manter os certificados e o código do aplicativo separadamente para proteger os dados confidenciais. O código do aplicativo poderá acessar os certificados públicos que você adicionar à instância do Azure Spring Apps.

Pré-requisitos

• Um aplicativo implantado no Azure Spring Apps. Consulte Início Rápido: Implantar o primeiro aplicativo no Azure Spring Apps, ou use um aplicativo existente.
• Um arquivo de certificado com a extensão .crt, .cer, .pem ou .der ou uma instância implantada do Azure Key Vault com um certificado privado.

Importar um certificado

Você pode escolher importar o certificado para a instância do Azure Spring Apps do Key Vault ou usar um arquivo de certificado local.

Importar um certificado do Key Vault

Você precisa conceder aos Aplicativos Spring do Azure acesso ao seu cofre de chaves para importar o certificado.

O Azure Key Vault oferece dois sistemas de autorização: Controle de acesso baseado em função do Azure (Azure RBAC), que opera nos planos de controle e dados do Azure, e o modelo de política de acesso, que opera apenas no plano de dados.

Para conceder acesso, use as seguintes etapas:

Políticas de acesso

1. Entre no portal do Azure.

2. Selecione Cofres de chaves e, em seguida, selecione o cofre de chaves do qual você importa o seu certificado.

3. No painel de navegação, selecione Políticas de acesso e selecione Criar.

4. Selecione Permissões de certificado, em seguida, selecione Obter e Listar.

   

5. Em Entidade de segurança, selecione Provedor de Recursos do Azure Spring Cloud.

   

6. Selecione Examinar + Criar e Criar.

RBAC

1. Entre no portal do Azure.

2. Selecione Cofres de chaves e, em seguida, selecione o cofre de chaves do qual você importa o seu certificado.

3. No painel de navegação, selecione Controle de acesso (IAM) e selecione Adicionar atribuição de função.

4. Pesquise Certificado e selecione a função denominada Usuário de Certificado do Key Vault.

   

5. Em Membros, selecione Selecionar membros. Pesquise o Provedor de Recursos do Azure Spring Cloud, selecione o provedor e escolha Selecionar.

   

6. Selecione Examinar + atribuir.

Após conceder o acesso ao cofre de chaves, você pode importar seu certificado usando as seguintes etapas:

1. Vá para a instância do serviço.

2. No painel de navegação à esquerda da sua instância, selecione Configurações de TLS/SSL.

3. Selecione Importar Certificado do Key Vault na seção Certificados de Chave Pública.

4. Selecione seu cofre de chaves na seção Cofres de chaves, selecione seu certificado na seção Certificado e escolha Selecionar.

5. Insira um valor para Nome do certificado, selecione Habilitar sincronização automática se necessário e, em seguida, selecione Aplicar. Para mais informações, veja a seção Certificado de sincronização automática do artigo Mapear um domínio personalizado existente para Aplicativos Spring do Azure.

Depois de importar o certificado com êxito, você o verá na lista de Certificados de Chave Pública.

Observação

As instâncias do Azure Key Vault e do Azure Spring Apps devem estar no mesmo locatário.

Importar um arquivo de certificado local

Você pode importar um arquivo de certificado armazenado localmente seguindo estas etapas:

1. Vá para a instância do serviço.
2. No painel de navegação à esquerda da sua instância, selecione Configurações de TLS/SSL.
3. Selecione Carregar certificado público na seção Certificados de Chave Pública.

Depois de importar o certificado com êxito, você o verá na lista de Certificados de Chave Pública.

Carregar um certificado

Para carregar um certificado no seu aplicativo no Azure Spring Apps, comece com estas etapas:

1. Acesse a instância do aplicativo.
2. No painel de navegação esquerdo do seu aplicativo, selecione Gerenciamento de certificados.
3. Selecione Adicionar certificado para escolher os certificados acessíveis para o aplicativo.

Carregar um certificado do código

Os certificados carregados estão disponíveis na pasta /etc/azure-spring-cloud/certs/public. Use o seguinte código Java para carregar um certificado público em um aplicativo no Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Carregar um certificado no repositório confiável

Para um aplicativo Java, você pode escolher Carregar no repositório confiável para o certificado selecionado. O certificado é adicionado automaticamente ao TrustStores padrão do Java para autenticar um servidor na autenticação TLS/SSL.

O log do seu aplicativo a seguir mostra que o certificado foi carregado com êxito.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Próximas etapas

• Habilitar o protocolo TLS para ingresso no aplicativo
• Acesse o Config Server e o Registro do Serviço