Mappa en befintlig anpassad domän till Azure Spring Apps
Kommentar
Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.
Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.
Den här artikeln gäller för: ✔️ Java ✔️ C#
Den här artikeln gäller för: ✔️ Standard ✔️ Enterprise
Domain Name Service (DNS) är en teknik för att lagra nätverksnodnamn i ett nätverk. Den här artikeln mappar en domän, till exempel www.contoso.com
, med hjälp av en CNAME-post. Den skyddar den anpassade domänen med ett certifikat och visar hur du framtvingar TLS (Transport Layer Security), även kallat Secure Sockets Layer (SSL).
Certifikat krypterar webbtrafik. Dessa TLS/SSL-certifikat kan lagras i Azure Key Vault.
Förutsättningar
- En Azure-prenumeration. Om du inte har någon prenumeration skapar du ett kostnadsfritt konto innan du börjar.
- (Valfritt) Azure CLI version 2.45.0 eller senare. Använd följande kommando för att installera Azure Spring Apps-tillägget:
az extension add --name spring
- Ett program som distribuerats till Azure Spring Apps (se Snabbstart: Starta ett befintligt program i Azure Spring Apps med hjälp av Azure Portal eller använda en befintlig app). Om ditt program distribueras med hjälp av Basic-planen måste du uppgradera till Standard-planen.
- Ett domännamn med åtkomst till DNS-registret för en domänprovider, till exempel GoDaddy.
- Ett privat certifikat (dvs. ditt självsignerade certifikat) från en tredjepartsleverantör. Certifikatet måste matcha domänen.
- En distribuerad instans av Azure Key Vault. Mer information finns i Om Azure Key Vault.
Överväganden för privat länk i Key Vault
IP-adresserna för Azure Spring Apps-hantering är ännu inte en del av Azure Trusted Microsoft-tjänster. För att azure Spring Apps ska kunna läsa in certifikat från ett Key Vault som skyddas med privata slutpunktsanslutningar måste du därför lägga till följande IP-adresser i Azure Key Vault-brandväggen:
20.99.204.111
20.201.9.97
20.74.97.5
52.235.25.35
20.194.10.0
20.59.204.46
104.214.186.86
52.153.221.222
52.160.137.39
20.39.142.56
20.199.190.222
20.79.64.6
20.211.128.96
52.149.104.144
20.197.121.209
40.119.175.77
20.108.108.22
102.133.143.38
52.226.244.150
20.84.171.169
20.93.48.108
20.75.4.46
20.78.29.213
20.106.86.34
20.193.151.132
Importera certifikat
Förbereda certifikatfilen i PFX (valfritt)
Azure Key Vault stöder import av privata certifikat i PEM- och PFX-format. Om PEM-filen som du hämtade från certifikatprovidern inte fungerar i avsnittet Spara certifikat i Key Vault följer du stegen här för att generera en PFX för Azure Key Vault.
Sammanfoga mellanliggande certifikat
Om du får flera certifikat av din certifikatutfärdare i certifikatkedjan, måste du sammanfoga certifikaten i ordning.
Om du vill utföra den här uppgiften öppnar du varje certifikat som du fick i en textredigerare.
Skapa en fil för det sammanfogade certifikatet med namnet mergedcertificate.crt. I redigeringsprogrammet kopierar du innehållet i varje certifikat till den här filen. Ordningen på dina certifikat ska följa ordningen i certifikatkedjan, först med ditt certifikat och sist med rotcertifikatet. Det ser ut som i följande exempel:
-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----
Exportera certifikat till PFX
Exportera det kopplade TLS/SSL-certifikatet med den privata nyckel som certifikatbegäran genererades med.
Om du genererade din certifikatbegäran med hjälp av OpenSSL, har du skapat en privat nyckelfil. Kör följande kommando för att exportera certifikatet till PFX. Ersätt platshållarna <private-key-file> och <merged-certificate-file> med sökvägarna till din privata nyckel och den kopplade certifikatfilen.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>
När du uppmanas till det anger du ett exportlösenord. Använd det här lösenordet när du laddar upp TLS/SSL-certifikatet till Azure Key Vault senare.
Om du använder IIS eller Certreq.exe till att generera din certifikatbegäran, installerar du certifikatet på den lokala datorn och exporterar sedan certifikatet till PFX.
Spara certifikat i Key Vault
Proceduren för att importera ett certifikat kräver att DEN PEM- eller PFX-kodade filen finns på disken och att du måste ha den privata nyckeln.
Använd följande steg för att ladda upp certifikatet till nyckelvalvet:
Gå till din key vault-instans.
I navigeringsfönstret väljer du Certifikat.
På den övre menyn väljer du Generera/importera.
På sidan Skapa ett certifikat väljer du Importera för skapandemetod för certifikat och anger sedan ett värde för Certifikatnamn.
Under Ladda upp certifikatfil navigerar du till certifikatplatsen och väljer den.
Under Lösenord anger du lösenordet här om du laddar upp en lösenordsskyddad certifikatfil. Annars lämnar du det tomt. När certifikatfilen har importerats tar Nyckelvalvet bort lösenordet.
Välj Skapa.
Ge Azure Spring Apps åtkomst till ditt nyckelvalv
Du måste ge Azure Spring Apps åtkomst till ditt nyckelvalv innan du importerar certifikatet.
Använd följande steg för att bevilja åtkomst med hjälp av Azure Portal:
Gå till din key vault-instans.
I navigeringsfönstret väljer du Åtkomstprinciper.
På den övre menyn väljer du Skapa.
Fyll i informationen och välj knappen Lägg till och sedan Skapa åtkomstpolis.
Hemlig behörighet Certifikatbehörighet Välj huvudkonto Hämta, Lista Hämta, Lista Domänhantering för Azure Spring Apps Kommentar
Om du inte hittar "Azure Spring Apps Domain-Management" söker du efter "Azure Spring Cloud Domain-Management".
Importera certifikat till Azure Spring Apps
Använd följande steg för att importera ett certifikat:
Gå till din Azure Spring Apps-instans.
I navigeringsfönstret väljer du TLS/SSL-inställningar.
Välj Importera key vault-certifikat.
På sidan Välj certifikat från Azure väljer du Prenumeration, Nyckelvalv och Certifikat i listrutan och väljer sedan Välj.
På sidan Ange certifikatnamn anger du certifikatnamnet, väljer Aktivera automatisk synkronisering om det behövs och väljer sedan Använd. Mer information finns i avsnittet Autosynkroniseringscertifikat.
När du har importerat certifikatet visas det i listan över privata nyckelcertifikat.
Viktigt!
Om du vill skydda en anpassad domän med det här certifikatet måste du binda certifikatet till den specifika domänen. Mer information finns i avsnittet Lägg till SSL-bindning .
Certifikat för automatisk synkronisering
Ett certifikat som lagras i Azure Key Vault förnyas ibland innan det upphör att gälla. På samma sätt kan organisationens säkerhetsprinciper för certifikathantering kräva att Ditt DevOps-team regelbundet ersätter certifikat med nya. När du har aktiverat automatisk synkronisering för ett certifikat börjar Azure Spring Apps regelbundet synkronisera ditt nyckelvalv för en ny version – vanligtvis var 24:e timme. Om en ny version är tillgänglig importerar Azure Spring Apps den och läser sedan in den igen för olika komponenter med hjälp av certifikatet utan att orsaka driftstopp. I följande lista visas de berörda komponenterna och relevanta scenarier:
- App
- Anpassad domän
- VMware Spring Cloud Gateway
- Anpassad domän
- API-portalen för VMware Tanzu
- Anpassad domän
- Programaccelerator för VMware Tanzu
- Ansluta till en Git-lagringsplats med ett självsignerat certifikat.
- Programkonfigurationstjänst för Tanzu
- Ansluta till en Git-lagringsplats med ett självsignerat certifikat.
När Azure Spring Apps importerar eller läser in ett certifikat igen genereras en aktivitetslogg. Om du vill se aktivitetsloggarna går du till din Azure Spring Apps-instans i Azure Portal och väljer Aktivitetslogg i navigeringsfönstret.
Kommentar
Funktionen för automatisk synkronisering av certifikat fungerar med privata certifikat och offentliga certifikat som importerats från Azure Key Vault. Den här funktionen är inte tillgänglig för innehållscertifikat som kunden laddar upp.
Du kan aktivera eller inaktivera funktionen för automatisk synkronisering av certifikat när du importerar ett certifikat från ditt nyckelvalv till Azure Spring Apps. Mer information finns i avsnittet Importera ett certifikat till Azure Spring Apps .
Du kan också aktivera eller inaktivera den här funktionen för ett certifikat som redan har importerats till Azure Spring Apps.
Använd följande steg för att aktivera eller inaktivera automatisk synkronisering för ett importerat certifikat:
Lägg till anpassad domän
Du kan använda en CNAME-post för att mappa ett anpassat DNS-namn till Azure Spring Apps.
Kommentar
A-posten stöds inte.
Skapa CNAME-posten
Gå till DNS-providern och lägg till en CNAME-post för att mappa domänen till <service-name>.azuremicroservices.io
. <service-name>
Här är namnet på din Azure Spring Apps-instans. Vi stöder jokerteckendomän och underdomän.
När du har lagt till CNAME liknar sidan DNS-poster följande exempel:
Mappa din anpassade domän till Azure Spring Apps-appen
Om du inte har något program i Azure Spring Apps följer du anvisningarna i Snabbstart: Distribuera ditt första program till Azure Spring Apps.
Använd följande steg för att binda en anpassad domän till appen:
Gå till programsidan.
Välj Anpassad domän.
Välj Lägg till anpassad domän.
Ange det fullständigt kvalificerade domännamn som du har lagt till en CNAME-post för, till exempel
www.contoso.com
. Kontrollera att posttypen Hostname är inställd på CNAME –<service-name>.azuremicroservices.io
.Välj Verifiera för att aktivera knappen Lägg till .
Markera Lägga till.
En app kan ha flera domäner, men en domän kan bara mappas till en app. När du har mappat din anpassade domän till appen visas den i den anpassade domäntabellen.
Kommentar
En inte säker etikett för din anpassade domän innebär att den ännu inte är bunden till ett SSL-certifikat. Alla HTTPS-begäranden från en webbläsare till din anpassade domän får ett fel eller en varning.
Lägg till SSL-bindning
Följ stegen nedan för att uppdatera en anpassad domän för appen:
I den anpassade domäntabellen väljer du Lägg till ssl-bindning enligt föregående bild.
Välj ditt certifikat eller importera det.
Välj Spara.
När du har lagt till SSL-bindning är domäntillståndet säkert: Felfritt.
Använda HTTPS
Som standard kan vem som helst fortfarande komma åt din app med HJÄLP av HTTP, men du kan omdirigera alla HTTP-begäranden till HTTPS-porten.
På appsidan går du till navigeringen och väljer Anpassad domän. Ange sedan ENDAST HTTPS till Yes
.
När åtgärden är klar navigerar du till någon av HTTPS-URL:erna som pekar på din app. Observera att HTTP-URL:er inte fungerar.