Share via

Добавление пользовательского сертификата ЦС в службе управления API Azure

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовый | Базовая версия 2 | Стандартный | Standard v2 | Премиум

Служба управления API Azure позволяет выполнять установку сертификатов ЦС на компьютере внутри доверенных корневых и промежуточных хранилищ сертификатов. Эту функциональность следует использовать, если вашим службам требуется пользовательский сертификат ЦС.

В этом руководстве описывается, как на портале Azure управлять сертификатами в экземпляре службы управления API Azure. Например, если вы используете самозаверяющие сертификаты клиентов, можно передать свои доверенные корневые сертификаты в службу "Управление API".

Сертификаты центра сертификации, отправленные в службу "Управление API", можно использовать только для проверки сертификатов на управляемом шлюзе этой службы. Если вы используете самостоятельно размещенный шлюз, изучите раздел о создании пользовательского центра сертификации для самостоятельно размещенного шлюза далее в этой статье.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Передача сертификата ЦС

Сертификаты центра сертификации на портале Azure

Чтобы передать новый сертификат ЦС, выполните действия ниже. Если экземпляр службы управления API еще не создан, выполните инструкции из руководства Создание экземпляра службы управления API Azure.

  1. На портале Azure перейдите к экземпляру службы управления API Azure.

  2. В меню Безопасность выберите Сертификаты > Сертификаты ЦС > +Добавить.

  3. Перейдите к CER-файлу сертификата и выберите хранилище сертификатов. Вам нужен только открытый ключ, а пароль указывать необязательно.

    Добавление сертификата центра сертификации на портале Azure

  4. Выберите Сохранить. Это может занять несколько минут.

Примечание.

  • Назначение сертификата может занять 15 или более минут в зависимости от размера развертывания. Во время обработки для ценовой категории "Разработчик" возникает простой. Для ценовой категории "Базовый" и более высоких простой не возникает.
  • Вы также можете отправить сертификат центра сертификации с помощью команды PowerShell New-AzApiManagementSystemCertificate.

Удаление сертификата ЦС

Выберите сертификат и щелкните Удалить в его контекстном меню (...).

Создание пользовательского центра сертификации для локального шлюза

Для локального шлюза не поддерживается проверка сертификатов сервера и клиента с использованием корневых сертификатов центра сертификации, переданных в службу "Управление API". Чтобы установить доверие, настройте конкретный сертификат клиента таким образом, чтобы он был доверенным для шлюза и считался пользовательским центром сертификации.

Используйте интерфейсы REST API для центра сертификации сертификатов шлюза, чтобы создать пользовательские центры сертификации и управлять ими для локального шлюза. Чтобы создать пользовательский центр сертификации, сделайте следующее:

  1. Добавьте PFX-файл сертификата в экземпляр службы "Управление API".
  2. С помощью REST API создания и обновления центра сертификации сертификатов шлюза сопоставьте сертификат с самостоятельно управляемым шлюзом.