Dela via


Mappa en befintlig anpassad domän till Azure Spring Apps

Kommentar

Basic-, Standard- och Enterprise-planerna kommer att vara inaktuella från och med mitten av mars 2025, med en 3-årig pensionsperiod. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i meddelandet om azure Spring Apps-pensionering.

Standardförbrukningen och den dedikerade planen kommer att vara inaktuell från och med den 30 september 2024, med en fullständig avstängning efter sex månader. Vi rekommenderar att du övergår till Azure Container Apps. Mer information finns i Migrera Azure Spring Apps Standard-förbrukning och dedikerad plan till Azure Container Apps.

Den här artikeln gäller för: ✔️ Java ✔️ C#

Den här artikeln gäller för: ✔️ Standard ✔️ Enterprise

Domain Name Service (DNS) är en teknik för att lagra nätverksnodnamn i ett nätverk. Den här artikeln mappar en domän, till exempel www.contoso.com, med hjälp av en CNAME-post. Den skyddar den anpassade domänen med ett certifikat och visar hur du framtvingar TLS (Transport Layer Security), även kallat Secure Sockets Layer (SSL).

Certifikat krypterar webbtrafik. Dessa TLS/SSL-certifikat kan lagras i Azure Key Vault.

Förutsättningar

  • En Azure-prenumeration. Om du inte har någon prenumeration skapar du ett kostnadsfritt konto innan du börjar.
  • (Valfritt) Azure CLI version 2.45.0 eller senare. Använd följande kommando för att installera Azure Spring Apps-tillägget: az extension add --name spring
  • Ett program som distribuerats till Azure Spring Apps (se Snabbstart: Starta ett befintligt program i Azure Spring Apps med hjälp av Azure Portal eller använda en befintlig app). Om ditt program distribueras med hjälp av Basic-planen måste du uppgradera till Standard-planen.
  • Ett domännamn med åtkomst till DNS-registret för en domänprovider, till exempel GoDaddy.
  • Ett privat certifikat (dvs. ditt självsignerade certifikat) från en tredjepartsleverantör. Certifikatet måste matcha domänen.
  • En distribuerad instans av Azure Key Vault. Mer information finns i Om Azure Key Vault.

IP-adresserna för Azure Spring Apps-hantering är ännu inte en del av Azure Trusted Microsoft-tjänster. För att azure Spring Apps ska kunna läsa in certifikat från ett Key Vault som skyddas med privata slutpunktsanslutningar måste du därför lägga till följande IP-adresser i Azure Key Vault-brandväggen:

  • 20.99.204.111
  • 20.201.9.97
  • 20.74.97.5
  • 52.235.25.35
  • 20.194.10.0
  • 20.59.204.46
  • 104.214.186.86
  • 52.153.221.222
  • 52.160.137.39
  • 20.39.142.56
  • 20.199.190.222
  • 20.79.64.6
  • 20.211.128.96
  • 52.149.104.144
  • 20.197.121.209
  • 40.119.175.77
  • 20.108.108.22
  • 102.133.143.38
  • 52.226.244.150
  • 20.84.171.169
  • 20.93.48.108
  • 20.75.4.46
  • 20.78.29.213
  • 20.106.86.34
  • 20.193.151.132

Importera certifikat

Förbereda certifikatfilen i PFX (valfritt)

Azure Key Vault stöder import av privata certifikat i PEM- och PFX-format. Om PEM-filen som du hämtade från certifikatprovidern inte fungerar i avsnittet Spara certifikat i Key Vault följer du stegen här för att generera en PFX för Azure Key Vault.

Sammanfoga mellanliggande certifikat

Om du får flera certifikat av din certifikatutfärdare i certifikatkedjan, måste du sammanfoga certifikaten i ordning.

Om du vill utföra den här uppgiften öppnar du varje certifikat som du fick i en textredigerare.

Skapa en fil för det sammanfogade certifikatet med namnet mergedcertificate.crt. I redigeringsprogrammet kopierar du innehållet i varje certifikat till den här filen. Ordningen på dina certifikat ska följa ordningen i certifikatkedjan, först med ditt certifikat och sist med rotcertifikatet. Det ser ut som i följande exempel:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportera certifikat till PFX

Exportera det kopplade TLS/SSL-certifikatet med den privata nyckel som certifikatbegäran genererades med.

Om du genererade din certifikatbegäran med hjälp av OpenSSL, har du skapat en privat nyckelfil. Kör följande kommando för att exportera certifikatet till PFX. Ersätt platshållarna <private-key-file> och <merged-certificate-file> med sökvägarna till din privata nyckel och den kopplade certifikatfilen.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

När du uppmanas till det anger du ett exportlösenord. Använd det här lösenordet när du laddar upp TLS/SSL-certifikatet till Azure Key Vault senare.

Om du använder IIS eller Certreq.exe till att generera din certifikatbegäran, installerar du certifikatet på den lokala datorn och exporterar sedan certifikatet till PFX.

Spara certifikat i Key Vault

Proceduren för att importera ett certifikat kräver att DEN PEM- eller PFX-kodade filen finns på disken och att du måste ha den privata nyckeln.

Använd följande steg för att ladda upp certifikatet till nyckelvalvet:

  1. Gå till din key vault-instans.

  2. I navigeringsfönstret väljer du Certifikat.

  3. På den övre menyn väljer du Generera/importera.

  4. På sidan Skapa ett certifikat väljer du Importera för skapandemetod för certifikat och anger sedan ett värde för Certifikatnamn.

  5. Under Ladda upp certifikatfil navigerar du till certifikatplatsen och väljer den.

  6. Under Lösenord anger du lösenordet här om du laddar upp en lösenordsskyddad certifikatfil. Annars lämnar du det tomt. När certifikatfilen har importerats tar Nyckelvalvet bort lösenordet.

  7. Välj Skapa.

    Skärmbild av dialogrutan Azure Portal Skapa ett certifikat.

Ge Azure Spring Apps åtkomst till ditt nyckelvalv

Du måste ge Azure Spring Apps åtkomst till ditt nyckelvalv innan du importerar certifikatet.

Använd följande steg för att bevilja åtkomst med hjälp av Azure Portal:

  1. Gå till din key vault-instans.

  2. I navigeringsfönstret väljer du Åtkomstprinciper.

  3. På den övre menyn väljer du Skapa.

  4. Fyll i informationen och välj knappen Lägg till och sedan Skapa åtkomstpolis.

    Hemlig behörighet Certifikatbehörighet Välj huvudkonto
    Hämta, Lista Hämta, Lista Domänhantering för Azure Spring Apps

    Kommentar

    Om du inte hittar "Azure Spring Apps Domain-Management" söker du efter "Azure Spring Cloud Domain-Management".

    Skärmbild av sidan Azure Portal Lägg till åtkomstprincip med Hämta och lista valt från hemliga behörigheter och från certifikatbehörigheter.

    Skärmbild av sidan Azure Portal Skapa åtkomstprincip med Domänhantering i Azure Spring Apps som valts i listrutan Välj ett huvudnamn.

Importera certifikat till Azure Spring Apps

Använd följande steg för att importera ett certifikat:

  1. Gå till din Azure Spring Apps-instans.

  2. I navigeringsfönstret väljer du TLS/SSL-inställningar.

  3. Välj Importera key vault-certifikat.

    Skärmbild av Azure Portal som visar sidan TLS/SSL-inställningar med knappen Importera nyckelvalvscertifikat markerat.

  4. På sidan Välj certifikat från Azure väljer du Prenumeration, Nyckelvalv och Certifikat i listrutan och väljer sedan Välj.

    Skärmbild av Azure Portal som visar sidan Välj certifikat från Azure.

  5. På sidan Ange certifikatnamn anger du certifikatnamnet, väljer Aktivera automatisk synkronisering om det behövs och väljer sedan Använd. Mer information finns i avsnittet Autosynkroniseringscertifikat.

    Skärmbild av dialogrutan Azure Portal Ange certifikatnamn.

  6. När du har importerat certifikatet visas det i listan över privata nyckelcertifikat.

    Skärmbild av Azure Portal som visar fliken Privata nyckelcertifikat.

Viktigt!

Om du vill skydda en anpassad domän med det här certifikatet måste du binda certifikatet till den specifika domänen. Mer information finns i avsnittet Lägg till SSL-bindning .

Certifikat för automatisk synkronisering

Ett certifikat som lagras i Azure Key Vault förnyas ibland innan det upphör att gälla. På samma sätt kan organisationens säkerhetsprinciper för certifikathantering kräva att Ditt DevOps-team regelbundet ersätter certifikat med nya. När du har aktiverat automatisk synkronisering för ett certifikat börjar Azure Spring Apps regelbundet synkronisera ditt nyckelvalv för en ny version – vanligtvis var 24:e timme. Om en ny version är tillgänglig importerar Azure Spring Apps den och läser sedan in den igen för olika komponenter med hjälp av certifikatet utan att orsaka driftstopp. I följande lista visas de berörda komponenterna och relevanta scenarier:

När Azure Spring Apps importerar eller läser in ett certifikat igen genereras en aktivitetslogg. Om du vill se aktivitetsloggarna går du till din Azure Spring Apps-instans i Azure Portal och väljer Aktivitetslogg i navigeringsfönstret.

Kommentar

Funktionen för automatisk synkronisering av certifikat fungerar med privata certifikat och offentliga certifikat som importerats från Azure Key Vault. Den här funktionen är inte tillgänglig för innehållscertifikat som kunden laddar upp.

Du kan aktivera eller inaktivera funktionen för automatisk synkronisering av certifikat när du importerar ett certifikat från ditt nyckelvalv till Azure Spring Apps. Mer information finns i avsnittet Importera ett certifikat till Azure Spring Apps .

Du kan också aktivera eller inaktivera den här funktionen för ett certifikat som redan har importerats till Azure Spring Apps.

Använd följande steg för att aktivera eller inaktivera automatisk synkronisering för ett importerat certifikat:

  1. Gå till listan över privata nyckelcertifikat eller offentliga nyckelcertifikat.

  2. Välj ellipsknappen (...) efter kolumnen Automatisk synkronisering och välj sedan antingen Aktivera automatisk synkronisering eller Inaktivera automatisk synkronisering.

    Skärmbild av Azure Portal som visar en certifikatlista med ellipsknappen öppen och alternativet Aktivera automatisk synkronisering markerat.

Lägg till anpassad domän

Du kan använda en CNAME-post för att mappa ett anpassat DNS-namn till Azure Spring Apps.

Kommentar

A-posten stöds inte.

Skapa CNAME-posten

Gå till DNS-providern och lägg till en CNAME-post för att mappa domänen till <service-name>.azuremicroservices.io. <service-name> Här är namnet på din Azure Spring Apps-instans. Vi stöder jokerteckendomän och underdomän.

När du har lagt till CNAME liknar sidan DNS-poster följande exempel:

Skärmbild av sidan DNS-poster som visar Azure Spring Apps-instansen.

Mappa din anpassade domän till Azure Spring Apps-appen

Om du inte har något program i Azure Spring Apps följer du anvisningarna i Snabbstart: Distribuera ditt första program till Azure Spring Apps.

Använd följande steg för att binda en anpassad domän till appen:

  1. Gå till programsidan.

  2. Välj Anpassad domän.

  3. Välj Lägg till anpassad domän.

    Skärmbild av Azure Portal som visar sidan Anpassad domän.

  4. Ange det fullständigt kvalificerade domännamn som du har lagt till en CNAME-post för, till exempel www.contoso.com. Kontrollera att posttypen Hostname är inställd på CNAME – <service-name>.azuremicroservices.io.

  5. Välj Verifiera för att aktivera knappen Lägg till .

  6. Markera Lägga till.

    Skärmbild av dialogrutan Azure Portal Lägg till anpassad domän.

En app kan ha flera domäner, men en domän kan bara mappas till en app. När du har mappat din anpassade domän till appen visas den i den anpassade domäntabellen.

Skärmbild av Azure Portal som visar en anpassad domäntabell.

Kommentar

En inte säker etikett för din anpassade domän innebär att den ännu inte är bunden till ett SSL-certifikat. Alla HTTPS-begäranden från en webbläsare till din anpassade domän får ett fel eller en varning.

Lägg till SSL-bindning

Följ stegen nedan för att uppdatera en anpassad domän för appen:

  1. I den anpassade domäntabellen väljer du Lägg till ssl-bindning enligt föregående bild.

  2. Välj ditt certifikat eller importera det.

  3. Välj Spara.

    Skärmbild av Azure Portal som visar TLS/SSL-bindningsfönstret.

När du har lagt till SSL-bindning är domäntillståndet säkert: Felfritt.

Skärmbild av en SSL-bindning som visar domäntillståndet Felfri.

Använda HTTPS

Som standard kan vem som helst fortfarande komma åt din app med HJÄLP av HTTP, men du kan omdirigera alla HTTP-begäranden till HTTPS-porten.

På appsidan går du till navigeringen och väljer Anpassad domän. Ange sedan ENDAST HTTPS till Yes.

Skärmbild av en SSL-bindning med alternativet Endast Https markerat.

När åtgärden är klar navigerar du till någon av HTTPS-URL:erna som pekar på din app. Observera att HTTP-URL:er inte fungerar.

Nästa steg