Dela via


Certifikatöversikt för Azure Cloud Services (klassisk)

Viktigt!

Cloud Services (klassisk) är nu inaktuellt för alla kunder från och med den 1 september 2024. Alla befintliga distributioner som körs stoppas och stängs av av Microsoft och data kommer att förloras kontinuerligt från och med oktober 2024. Nya distributioner bör använda den nya Azure Resource Manager-baserade distributionsmodellen Azure Cloud Services (utökad support).

Certifikat används i Azure för molntjänster (tjänstcertifikat) och för autentisering med hanterings-API:et (hanteringscertifikat). Den här artikeln ger en allmän översikt över båda certifikattyperna, hur du skapar och distribuerar dem till Azure.

Certifikat som används i Azure är x.509 v3-certifikat. De kan självsignering, eller så kan ett annat betrott certifikat signera dem. Ett certifikat är självsignerat när skaparen signerar det. Självsignerade certifikat är inte betrodda som standard, men de flesta webbläsare kan ignorera det här problemet. Du bör bara använda självsignerade certifikat när du utvecklar och testar dina molntjänster.

Certifikat som används av Azure kan innehålla en offentlig nyckel. Certifikat har ett tumavtryck som ger ett sätt att identifiera dem på ett otvetydigt sätt. Det här tumavtrycket används i Azure-konfigurationsfilen för att identifiera vilket certifikat en molntjänst ska använda.

Kommentar

Azure Cloud Services accepterar inte AES256-SHA256-krypterat certifikat.

Vad är tjänstcertifikat?

Tjänstcertifikat är kopplade till molntjänster och möjliggör säker kommunikation till och från tjänsten. Om du till exempel har distribuerat en webbroll vill du ange ett certifikat som kan autentisera en exponerad HTTPS-slutpunkt. Tjänstcertifikat, som definieras i tjänstdefinitionen, distribueras automatiskt till den virtuella dator som kör en instans av din roll.

Du kan antingen ladda upp tjänstcertifikat till Azure via Azure-portalen eller med hjälp av den klassiska distributionsmodellen. Tjänstcertifikaten är associerade med en viss molntjänst. Tjänstdefinitionsfilen tilldelar dem till en distribution.

Tjänstcertifikat kan hanteras separat från dina tjänster och olika personer kan hantera dem. En utvecklare kan till exempel ladda upp ett tjänstpaket som refererar till ett certifikat som en IT-chef tidigare laddade upp till Azure. En IT-chef kan hantera och förnya certifikatet (ändra tjänstens konfiguration) utan att behöva ladda upp ett nytt tjänstpaket. Det går att uppdatera utan ett nytt tjänstpaket eftersom det logiska namnet, lagringsnamnet och platsen för certifikatet finns i tjänstdefinitionsfilen och medan certifikatets tumavtryck anges i tjänstkonfigurationsfilen. Om du vill uppdatera certifikatet behöver du bara ladda upp ett nytt certifikat och ändra tumavtrycksvärdet i tjänstens konfigurationsfil.

Kommentar

Artikeln Vanliga frågor och svar om Cloud Services – Konfiguration och hantering innehåller användbar information om certifikat.

Vad är hanteringscertifikat?

Hanteringscertifikat gör att du kan autentisera med den klassiska distributionsmodellen. Många program och verktyg (som Visual Studio och Azure SDK) använder sådana här certifikat till att automatisera konfigurationen och distributionen av olika Azure-tjänster. Dessa certifikat är inte relaterade till molntjänster.

Varning

Var försiktig! Med de här typerna av certifikat kan alla som autentiserar med dem hantera den prenumeration som de är associerade med.

Begränsningar

Det finns en gräns på 100 hanteringscertifikat per prenumeration. Det finns också en gräns på 100 hanteringscertifikat för alla prenumerationer under en specifik tjänstadministratörs användar-ID. Om användar-ID:t för kontoadministratören redan användes för att lägga till 100 hanteringscertifikat och det finns ett behov av fler certifikat kan du lägga till en coadministrator för att lägga till fler certifikat.

Dessutom kan hanteringscertifikat inte användas med Molnlösningsleverantör -prenumerationer (CSP) eftersom CSP-prenumerationer endast stöder Azure Resource Manager-distributionsmodellen och hanteringscertifikat använder den klassiska distributionsmodellen. Referera till Azure Resource Manager jämfört med den klassiska distributionsmodellen och Förstå autentisering med Azure SDK för .NET för mer information om dina alternativ för CSP-prenumerationer.

Skapa ett nytt självsignerat certifikat

Du kan använda alla tillgängliga verktyg för att skapa ett självsignerat certifikat så länge de följer dessa inställningar:

  • Ett X.509-certifikat.

  • Innehåller en offentlig nyckel.

  • Skapades för nyckelutbyte (.pfx-fil).

  • Ämnesnamnet måste matcha domänen som används för åtkomst till molntjänsten.

    Du kan inte hämta ett TLS/SSL-certifikat för cloudapp.net (eller för någon Azure-relaterad) domän. certifikatets ämnesnamn måste matcha det anpassade domännamnet som används för att komma åt ditt program. Till exempel contoso.net, inte contoso.cloudapp.net.

  • Minst 2048-bitars kryptering.

  • Endast tjänstcertifikat: Certifikat på klientsidan måste finnas i det personliga certifikatarkivet.

Det finns två enkla sätt att skapa ett certifikat på Windows, med makecert.exe verktyget eller IIS.

Makecert.exe

Det här verktyget har dragits tillbaka och dokumenteras inte längre här. Mer information finns i den här artikeln om Microsoft Developer Network (MSDN).

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Kommentar

Om du vill använda certifikatet med en IP-adress i stället för en domän använder du IP-adressen i parametern -DnsName.

Om du vill använda det här certifikatet med hanteringsportalen exporterar du det till en .cer fil:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

Det finns många sidor på Internet som beskriver hur du skapar certifikat med IIS, till exempel När du ska använda ett självsignerat IIS-certifikat.

Linux

Snabbsteg: Skapa och använda ett offentligt-privat SSH-nyckelpar för virtuella Linux-datorer i Azure beskriver hur du skapar certifikat med SSH.

Nästa steg

Ladda upp tjänstcertifikatet till Azure Portal.

Ladda upp ett API-certifikat för hantering till Azure Portal.