Certifikat och App Service-miljön

Anteckning

Den här artikeln handlar om App Service-miljön v3 som används med isolerade v2-App Service planer

App Service-miljön är en distribution av Azure App Service som körs i ditt virtuella Azure-nätverk. Den kan distribueras med en internettillgänglig programslutpunkt eller en programslutpunkt som finns i ditt virtuella nätverk. Om du distribuerar App Service-miljön med en internettillgänglig slutpunkt kallas distributionen för en extern App Service-miljön. Om du distribuerar App Service-miljön med en slutpunkt i ditt virtuella nätverk kallas distributionen för en ILB-App Service-miljön. Du kan lära dig mer om ILB-App Service-miljön från dokumentet Skapa och använda en ILB-App Service-miljön.

Programcertifikat

Program som finns i en App Service-miljön stöder följande appcentrerade certifikatfunktioner, som också är tillgängliga i App Service för flera klientorganisationer. Krav och instruktioner för att ladda upp och hantera dessa certifikat finns i Lägga till ett TLS/SSL-certifikat i Azure App Service.

• SNI-certifikat
• KeyVault-värdbaserade certifikat

När du lägger till certifikatet i din App Service app eller funktionsapp kan du skydda ett anpassat domännamn med det eller använda det i programkoden.

Begränsningar

App Service hanterade certifikat stöds inte på appar som finns i en App Service-miljön.

TLS-inställningar

Du kan konfigurera TLS-inställningen på appnivå.

Privat klientcertifikat

Ett vanligt användningsfall är att konfigurera din app som en klient i en klient-server-modell. Om du skyddar servern med ett privat CA-certifikat måste du ladda upp klientcertifikatet (.cer-filen ) till din app. Följande instruktioner läser in certifikat till förtroendearkivet för de arbetare som appen körs på. Du behöver bara ladda upp certifikatet en gång för att använda det med appar som finns i samma App Service plan.

Anteckning

Privata klientcertifikat stöds endast från anpassad kod i Windows-kodappar. Privata klientcertifikat stöds inte utanför appen. Detta begränsar användningen i scenarier som att hämta appcontaineravbildningen från ett register med ett privat certifikat och TLS som verifierar via klientdelsservrarna med ett privat certifikat.

Följ de här stegen för att ladda upp certifikatet (.cer-filen) till din app i App Service-miljön. Cer-filen kan exporteras från certifikatet. I testsyfte finns det ett PowerShell-exempel i slutet som genererar ett tillfälligt självsignerat certifikat:

1. Gå till den app som behöver certifikatet i Azure Portal

2. Gå till Certifikat i appen. Välj Certifikat för offentlig nyckel (.cer). Välj Lägg till certifikat. Ange ett namn. Bläddra och välj din .cer-fil . Välj ladda upp.

3. Kopiera tumavtrycket.

4. Gå till Inställningar för konfigurationsprogram>. Skapa en appinställning WEBSITE_LOAD_ROOT_CERTIFICATES med tumavtrycket som värde. Om du har flera certifikat kan du placera dem i samma inställning avgränsade med kommatecken och inget blanksteg som

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certifikatet är tillgängligt för alla appar i samma App Service-plan som appen, som konfigurerade den inställningen, men alla appar som är beroende av det privata CA-certifikatet bör ha programinställningen konfigurerad för att undvika tidsproblem.

Om du vill att den ska vara tillgänglig för appar i en annan App Service plan måste du upprepa appinställningsåtgärden för apparna i den App Service planen. Kontrollera att certifikatet har angetts genom att gå till Kudu-konsolen och utfärda följande kommando i PowerShell-felsökningskonsolen:

dir Cert:\LocalMachine\Root

För att utföra testning kan du skapa ett självsignerat certifikat och generera en CER-fil med följande PowerShell:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certifikat för privat server

Om din app fungerar som en server i en klient-server-modell, antingen bakom en omvänd proxy eller direkt med en privat klient och du använder ett privat CA-certifikat, måste du ladda upp servercertifikatet (.pfx-filen ) med den fullständiga certifikatkedjan till din app och binda certifikatet till den anpassade domänen. Eftersom infrastrukturen är dedikerad till din App Service-miljön läggs den fullständiga certifikatkedjan till i servrarnas förtroendearkiv. Du behöver bara ladda upp certifikatet en gång för att använda det med appar som finns i samma App Service-miljön.

Anteckning

Om du laddade upp certifikatet före 1. Oktober 2023 måste du ladda om och ombinda certifikatet för att den fullständiga certifikatkedjan ska läggas till på servrarna.

Följ självstudien om säker anpassad domän med TLS/SSL för att ladda upp/binda ditt privata CA-rotade certifikat till appen i App Service-miljön.

Nästa steg

• Information om hur du använder certifikat i programkod