Certifikat och App Service-miljön
Kommentar
Den här artikeln handlar om App Service Environment v3, som används med Isolerade v2 App Service-planer
App Service Environment är en distribution av Azure App Service som körs i ditt virtuella Azure-nätverk. Den kan distribueras med en internettillgänglig programslutpunkt eller en programslutpunkt som finns i ditt virtuella nätverk. Om du distribuerar App Service Environment med en internettillgänglig slutpunkt kallas distributionen för en extern App Service-miljö. Om du distribuerar App Service Environment med en slutpunkt i ditt virtuella nätverk kallas distributionen för en ILB App Service-miljö. Du kan lära dig mer om ILB App Service Environment i dokumentet Skapa och använda en ILB App Service Environment .
Programcertifikat
Program som finns i en App Service-miljö stöder följande appcentrerade certifikatfunktioner, som också är tillgängliga i apptjänsten för flera klienter. Krav och instruktioner för att ladda upp och hantera dessa certifikat finns i Lägga till ett TLS/SSL-certifikat i Azure App Service.
När du har lagt till certifikatet i App Service-appen eller funktionsappen kan du skydda ett anpassat domännamn med det eller använda det i programkoden.
Begränsningar
App Service-hanterade certifikat stöds inte för appar som finns i en App Service-miljö.
TLS-inställningar
Du kan konfigurera TLS-inställningen på appnivå.
Privat klientcertifikat
Ett vanligt användningsfall är att konfigurera din app som en klient i en klient-server-modell. Om du skyddar servern med ett privat CA-certifikat måste du ladda upp klientcertifikatet (.cer fil) till din app. Följande instruktioner läser in certifikat till förtroendearkivet för de arbetare som appen körs på. Du behöver bara ladda upp certifikatet en gång för att använda det med appar som finns i samma App Service-plan.
Kommentar
Privata klientcertifikat stöds endast från anpassad kod i Windows-kodappar. Privata klientcertifikat stöds inte utanför appen. Detta begränsar användningen i scenarier som att hämta appcontaineravbildningen från ett register med hjälp av ett privat certifikat och TLS som verifierar via klientdelsservrarna med hjälp av ett privat certifikat.
Följ de här stegen för att ladda upp certifikatet (.cer-filen ) till din app i App Service-miljön. Filen .cer kan exporteras från certifikatet. I testsyfte finns det ett PowerShell-exempel i slutet för att generera ett tillfälligt självsignerat certifikat:
Gå till den app som behöver certifikatet i Azure-portalen
Gå till Certifikat i appen. Välj Offentligt nyckelcertifikat (.cer). Välj Lägg till certifikat. Ange ett namn. Bläddra och välj din .cer-fil . Välj ladda upp.
Kopiera tumavtrycket.
Gå till Inställningar för konfigurationsprogram>. Skapa en appinställning WEBSITE_LOAD_ROOT_CERTIFICATES med tumavtrycket som värde. Om du har flera certifikat kan du placera dem i samma inställning avgränsade med kommatecken och inga blanksteg som
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
Certifikatet är tillgängligt för alla appar i samma App Service-plan som appen, som konfigurerade den inställningen, men alla appar som är beroende av det privata CA-certifikatet bör ha programinställningen konfigurerad för att undvika tidsproblem.
Om du vill att den ska vara tillgänglig för appar i en annan App Service-plan måste du upprepa appinställningsåtgärden för apparna i App Service-planen. Kontrollera att certifikatet har angetts genom att gå till Kudu-konsolen och utfärda följande kommando i PowerShell-felsökningskonsolen:
dir Cert:\LocalMachine\Root
För att utföra testning kan du skapa ett självsignerat certifikat och generera en .cer fil med följande PowerShell:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Certifikat för privat server
Om din app fungerar som en server i en klient-server-modell, antingen bakom en omvänd proxy eller direkt med en privat klient och du använder ett privat CA-certifikat, måste du ladda upp servercertifikatet (.pfx-filen ) med den fullständiga certifikatkedjan till din app och binda certifikatet till den anpassade domänen. Eftersom infrastrukturen är dedikerad till din App Service-miljö läggs den fullständiga certifikatkedjan till i förtroendearkivet för servrarna. Du behöver bara ladda upp certifikatet en gång för att använda det med appar som finns i samma App Service-miljö.
Kommentar
Om du laddade upp certifikatet före 1. Oktober 2023 måste du ladda om och koppla om certifikatet för att den fullständiga certifikatkedjan ska läggas till på servrarna.
Följ självstudien om säker anpassad domän med TLS/SSL för att ladda upp/binda ditt privata CA-rotade certifikat till appen i App Service-miljön.
Nästa steg
- Information om hur du använder certifikat i programkod