Aktivera HTTPS-kommunikation i Azure Cloud Services (utökad support)

Kommunikation med Microsoft Azure Cloud Services (utökat stöd) görs med hjälp av HTTPS-protokollet (Hypertext Transfer Protocol Secure). Den här artikeln beskriver hur du aktiverar HTTPS-kommunikation för Cloud Services (utökad support).

Förutsättningar

• Visual Studio.

• Ett Azure Cloud Services-projekt (utökad support) i Visual Studio.

• Ett SSL-certifikat (Secure Sockets Layer) i filformatet Personal Information Exchange (.pfx). Om du inte redan har ett SSL-certifikat tilldelat av CA använder du ett PowerShell-skript för att självtilldela ett certifikat för testanvändning.

• En Azure Key Vault resurs som finns i samma resursgrupp som din Azure Cloud Services-resurs (utökad support). Om du inte redan har en resurs kan du skapa en nyckelvalvsresurs med hjälp av Azure Portal.

Allmänna steg för projektdistribution

De allmänna stegen för att distribuera ett Cloud Services-projekt (utökad support) till Azure är följande:

1. Förbered certifikatet.

2. Konfigurera projektet.

3. Paketera projektfilen i tjänstdefinitionsfilerna (.csdef), tjänstkonfigurationen (.cscfg) och tjänstpaketfilerna (.cspkg) för molntjänsten.

4. Ändra konfigurationen för resursen Cloud Services (utökad support) om det behövs. Du kan till exempel göra någon av följande ändringar:

   1. Uppdatera paket-URL:en.
   2. Konfigurera URL-inställningen.
   3. Uppdatera inställningen för operativsystemhemligheter.

5. Distribuera och uppdatera det nya projektet till Azure.

Obs!

Projektet kan distribueras via flera olika metoder, till exempel med hjälp av följande verktyg:

• Visual Studio
• En Azure Resource Manager-mall (ARM-mall)
• Ett verktyg för kontinuerlig integrering och kontinuerlig leverans (CI/CD), till exempel Azure DevOps

Oavsett distributionsmetod är de allmänna distributionsstegen desamma.

De två första stegen är nödvändiga för alla distributionsmetoder. De här stegen beskrivs i avsnittet Kodändringar . De återstående stegen är också viktiga, men de kräver inte alltid manuella användaråtgärder. Stegen kan till exempel utföras automatiskt av ett verktyg som Visual Studio. De tre sista stegen beskrivs i avsnittet Konfigurationsändringar .

Kodändringar

Utför följande steg för att göra kodändringarna för att förbereda certifikatet och konfigurera projektet:

1. Följ anvisningarna för att ladda upp ett certifikat till nyckelvalvet via steg 6.

2. Skriv ned tumavtrycket för certifikatet (en hexadecimal sträng med 40 siffror).

3. I projektets tjänstkonfigurationsfil (.cscfg) lägger du till certifikatets tumavtryck i rollen där du vill använda certifikatet. Om du till exempel vill använda certifikatet som SSL-certifikat för att kommunicera med en WebRole kan du lägga till XML-kod som liknar följande kodfragment för WebRole1 som det första underordnade rotelementet ServiceConfiguration :

   <Role name="WebRole1">
     <Instances count="1" />
     <Certificates>
       <Certificate
         name="Certificate1"
         thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
         thumbprintAlgorithm="sha1"
       />
     </Certificates>
   </Role>
   

   Du kan anpassa namnet på certifikatet, men det måste matcha certifikatnamnet som används i tjänstdefinitionsfilen (.csdef).

4. Lägg till följande element i tjänstdefinitionsfilen (.csdef).

   Överordnad XPath	Element att lägga till	Attribut som ska användas
   /ServiceDefinition/WebRole/Sites/Site/Bindings	Binding	name, endpointName
   /ServiceDefinition/WebRole/Endpoints	InputEndpoint	name, protocol, port, certificate
   /ServiceDefinition/WebRole	Certificates/Certificate	name, storeLocation, storeName, permissionLevel

   Elementet Certificates måste läggas till direkt efter den avslutande Endpoints taggen. Den innehåller inga attribut. Den innehåller endast underordnade Certificate element.

   Din tjänstdefinitionsfil kan till exempel likna följande XML-kod:

   <?xml version="1.0" encoding="utf-8"?>
   <ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
     <WebRole name="WebRole1" vmsize="Standard_D1_v2">
       <Sites>
         <Site name="Web">
           <Bindings>
             <Binding name="Endpoint1" endpointName="Endpoint1" />
             <Binding name="HttpsIn" endpointName="HttpsIn" />
           </Bindings>
         </Site>
       </Sites>
       <Endpoints>
         <InputEndpoint name="Endpoint1" protocol="http" port="80" />
         <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
       </Endpoints>
       <Certificates>
         <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
       </Certificates>
     </WebRole>
   </ServiceDefinition>
   

   I det här exemplet ändras tjänstdefinitionsfilen för att binda en indataslutpunkt HttpsIn för för HTTPS-protokollet på port 443. Det använder certifikatet Certificate1 för ett arkiv som har ett namn på My och en plats LocalMachine för endast en begränsad eller förhöjd behörighetsnivå. Certifikatnamnen i elementen InputEndpoint och Certificate matchar varandra. De matchar även certifikatnamnet som användes i tjänstkonfigurationsfilen (.cscfg) från föregående steg.

Konfigurationsändringar

Instruktionerna för att ändra molntjänstkonfigurationen varierar beroende på hur molntjänsten distribuerades. De här anvisningarna visas på följande flikar. Varje flik representerar en annan distributionsmetod.

Portal

Innan du fortsätter läser du Distribuera en Azure-Cloud Services (utökad support) med hjälp av Azure Portal. Följ sedan de här stegen för att göra rätt konfigurationsändringar via Azure Portal:

1. Gå till blogginlägget med titeln Manuell migrering från den klassiska mallen Cloud Service till Cloud Service Extended Support med ARM och följ steg 7 till 9. De här anvisningarna visar hur du gör följande:

   • Paketera projektet.

   • Ladda upp de genererade tjänstpaketfilerna (<project-name.cspkg>) och cloud service configuration (ServiceConfiguration.Cloud.cscfg) till en lagringskontocontainer för din molntjänst.

     Obs!

     Du måste också ladda upp tjänstdefinitionsfilen (ServiceDefinition.csdef) med hjälp av samma process som beskrivs för de andra två filerna.

   • Generera en URL för signatur för delad åtkomst (SAS) för var och en av de uppladdade filerna.

2. I Azure Portal går du tillbaka till sidan Översikt för molntjänsten och väljer sedan Uppdatera.

3. Gör följande ändringar på fliken Grundläggande på sidan Uppdatera molntjänst:

   1. I fältet Package/configuration/service definition location (Plats för paket/konfiguration/tjänstdefinition ) väljer du Från blob.

   2. I fältet Ladda upp ett paket (.cspkg, .zip) följer du dessa steg:

      1. Välj länken Bläddra .
      2. Välj det lagringskonto och den container som du laddade upp filer till.
      3. På containersidan väljer du motsvarande fil (i det här fallet <project-name.cspkg>) och väljer sedan knappen Välj.

   3. För fältet Ladda upp en konfiguration (.cscfg) (och filen ServiceConfiguration.Cloud.cscfg ) upprepar du underproceduren som beskrivs i föregående steg.

   4. Upprepa underproceduren igen för fältet Ladda upp en tjänstdefinition (.csdef) (och filen ServiceDefinition.csdef ).

4. Välj fliken Konfiguration .

5. I fältet Nyckelvalv väljer du det nyckelvalv där du laddade upp certifikatet (tidigare i avsnittet Kodändringar ). När certifikatet har hittats i det valda nyckelvalvet visar certifikatet i listan statusen Hittades.

6. Om du vill distribuera det nyligen konfigurerade projektet väljer du knappen Uppdatera .

PowerShell

Innan du fortsätter läser du Distribuera en molntjänst (utökad support) med hjälp av Azure PowerShell. Följ sedan de här stegen för att göra konfigurationsändringar via ett PowerShell-skript:

1. Gå till blogginlägget med titeln Manuell migrering från den klassiska mallen Cloud Service till Cloud Service Extended Support med ARM och följ steg 7 till 9. De här anvisningarna visar hur du gör följande:

   • Paketera projektet.

   • Ladda upp filen för det genererade tjänstpaketet (<project-name.cspkg>) till en lagringskontocontainer för din molntjänst.

     Obs!

     Trots vad som anges i anvisningarna behöver du inte ladda upp molntjänstkonfigurationsfilen (ServiceConfiguration.Cloud.cscfg). Endast tjänstpaketfilen måste laddas upp här.

   • Generera en URL för signatur för delad åtkomst (SAS) för den uppladdade tjänstpaketfilen.

2. Logga in på Azure genom att köra cmdleten Connect-AzAccount .

3. I följande PowerShell-skript ersätter du platshållarna i början av skriptet med de faktiska värdena för varje variabel och kör sedan skriptet för att uppdatera molntjänsten:

   # Enter values for placeholders in the following variables.
   $vaultName = "<key-vault-resource-name>"
   $resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
   $certificateName = "<name-of-certificate-saved-in-key-vault>"
   $cloudService = @{
       Name = "<name-of-cloud-service>"
       ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
       SubscriptionId = "<subscription-guid>"
   }
   $cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
   $cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"
   
   # Code execution
   $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
   $certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
   $vaultSecretGroupObject = @{
       CertificateUrl = $certificate.SecretId
       Id = $keyVault.ResourceId
   }
   $secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
   $osProfile = @{secret = @($secretGroup)}
   
   $cses = Get-AzCloudService @cloudService
   $cses.Configuration = Get-Content $cscfgFilePath | Out-String
   $cses.PackageUrl = $cspkgUrl
   $cses.OSProfile = $osProfile
   $cses | Update-AzCloudService
   

Resource Manager mall

Innan du fortsätter läser du Distribuera en molntjänst (utökad support) med ARM-mallar. Följ sedan dessa steg för att konfigurera ARM-mallen:

1. Gå till blogginlägget som heter Manuell migrering från den klassiska mallen Cloud Service till Cloud Service Extended Support med ARM och följ steg 7 till och med 10. De här anvisningarna visar hur du gör följande:

   • Paketera projektet.

   • Ladda upp de genererade tjänstpaketfilerna (<project-name.cspkg>) och cloud service configuration (ServiceConfiguration.Cloud.cscfg) till en lagringskontocontainer för din molntjänst.

   • Generera en URL för signatur för delad åtkomst (SAS) för var och en av de uppladdade filerna.

   • Hämta följande värden från certifikatsidan för nyckelvalvet i Azure Portal:

     • URL för Key Vault-certifikat
     • Prenumerations-ID
     • Namnet på resursgruppen där nyckelvalvet distribueras
     • Tjänstnamn för nyckelvalvet

   Leta reda på osProfile egenskapen i din ursprungliga ARM-mall för molntjänsten. Om det ursprungliga molntjänstprojektet endast stöder HTTP-kommunikation är egenskapen osProfile tom ("osProfile": {}). Om du vill att molntjänsten ska kunna hämta rätt certifikat från rätt nyckelvalv anger du vilket nyckelvalv du vill använda i ARM-mallen. Du kan använda en parameter för att representera det här värdet. Eller så kan du hårdkoda värdet i ARM-mallen, som du ser i följande exempel:

   "osProfile": {
     "secrets": [
       {
         "sourceVault": {
           "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
         },
         "vaultCertificates": [
           {
             "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
           }
         ]
       }
     ]
   }
   

   I JSON-texten i ARM-mallen id är värdet i parametern sourceVault en del av URL:en för Key Vault-sidan i Azure Portal. Värdet certificateUrl är url:en för nyckelvalvets certifikat som du hittade tidigare. Textformaten för dessa värden visas i följande tabell.

   Parameter	Format
   Källvalvs-ID	/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
   URL för Key Vault-certifikat	https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>

2. Distribuera den uppdaterade ARM-mallen som innehåller nya parametrar, till exempel paket-SAS-token, SAS-konfigurationstoken med mera. Om du vill se hur du deklarerar och anger dessa parametrar kan du granska en ARM-exempelmallfil och en exempelfil för ARM-mallparametrar. Vänta sedan tills distributionen har slutförts.

Obs!

Om du får ett felmeddelande om att den offentliga IP-adressen används tar du bort den offentliga IP-adressen från tjänstkonfigurationsfilen (.cscfg) och ARM-mallparametrar. Ta inte bort den offentliga IP-adressdeklarationen från själva ARM-mallfilen.

C#

Innan du fortsätter läser du Distribuera Cloud Services (utökad support) med hjälp av Azure SDK.

Obs!

Det här avsnittet innehåller kod som skrivs om från den officiella SDK-exempelkoden som du hittar på GitHub-exempelkodsidan för Azure Cloud Services (utökad support).

I det här avsnittet beskrivs hur du använder Azure SDK och C# för att göra rätt konfigurationsändringar. Om du vill använda SDK:et för att distribuera molntjänstprojektet och ändra den relaterade konfigurationen bör du registrera ett program i Microsoft Entra ID. Information om hur du gör registreringen finns i artikeln Använda portalen för att skapa ett Microsoft Entra program och tjänstens huvudnamn som kan komma åt resurser. I följande tabell beskrivs de specifika steg som ska utföras och motsvarande underavsnitt som ska läsas i den artikeln.

Steg	Underavsnittslänk
Tilldela din prenumeration ägarrollen för ditt program	Tilldela en roll till programmet
Kopiera klientorganisations-ID och program-ID	Hämta klient- och app-ID-värden för inloggning
Skapa och kopiera en ny programhemlighet	Alternativ 2: Skapa en ny programhemlighet
Konfigurera åtkomstprincipen för nyckelvalvet och ge behörighet till ditt program (minst läsnivå) för att få åtkomst till certifikatet	Konfigurera åtkomstprinciper för resurser

Följ dessa steg för att göra rätt konfigurationsändringar:

1. Gå till blogginlägget med titeln Manuell migrering från den klassiska mallen Cloud Service till Cloud Service Extended Support med ARM och följ steg 7 till och med 10. De här anvisningarna visar hur du gör följande:

   • Paketera projektet.

   • Ladda upp filen för det genererade tjänstpaketet (<project-name.cspkg>) till en lagringskontocontainer för din molntjänst.

     Obs!

     Trots vad som anges i anvisningarna behöver du inte ladda upp molntjänstkonfigurationsfilen (ServiceConfiguration.Cloud.cscfg). Endast tjänstpaketfilen måste laddas upp här.

   • Generera en URL för signatur för delad åtkomst (SAS) för den uppladdade tjänstpaketfilen.

   • Hämta följande värden från certifikatsidan för nyckelvalvet i Azure Portal:

     • URL för Key Vault-certifikat
     • Prenumerations-ID
     • Namnet på resursgruppen där nyckelvalvet distribueras
     • Tjänstnamn för nyckelvalvet

2. Ladda ned exempelprojektet (en komprimerad arkivfil) och extrahera dess innehåll.

3. Öppna filen SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs i en textredigerare. InitializeServiceClient I -metoden skriver du över värdena för tenantIdsträngvariablerna , clientIdoch clientCredentials med värdena för klientorganisations-ID, program-ID respektive programhemlighet. Dessa värden är de som du kopierade när du registrerade ditt program.

4. Öppna filen SDKSample\CreateCloudService\CreateCloudService\Program.cs i en textredigerare. Main I metoden skriver du över några av de initierade värdena för variablerna som deklarerades i början av metoden. I följande tabell visas variabelnamnen och de värden som du måste använda för dem.

   Variabelnamn	Nytt värde
   m_subId	ID:t för prenumerationen som innehåller molntjänsten
   csrgName	Namnet på resursgruppen som innehåller molntjänsten
   csName	Namnet på molntjänstens resurs
   kvrgName	Namnet på resursgruppen som innehåller nyckelvalvsresursen
   kvName	Resursnamnet för nyckelvalvet
   kvsubid	ID:t för prenumerationen som innehåller nyckelvalvet (detta kan skilja sig från prenumerations-ID:t för molntjänsten)
   secretidentifier	URL:en för nyckelvalvets certifikat
   filename	Den lokala sökvägen till tjänstkonfigurationsfilen (ServiceConfiguration.Cloud.cscfg)
   packageurl	SAS-URL:en för tjänstpaketfilen (<project-name.cspkg>)

5. I fönstret Visual Studio Solution Explorer högerklickar du på projektnoden och väljer sedan Hantera NuGet-paket. På fliken Bläddra söker du efter, väljer och installerar följande paket:

   • Microsoft.Azure.Management.ResourceManager
   • Microsoft.Azure.Management.Compute
   • Microsoft.Azure.Management.Storage
   • Azure.Identity
   • Microsoft.Rest.ClientRuntime.Azure.Authentication

6. Kör projektet och vänta sedan tills meddelanden visas i fönstret Utdata . Om fönstret visar "avsluta med kod 0" bör uppdateringen och distributionen fungera. Om den visar "avsluta med kod 1" kan du behöva söka efter felmeddelanden för att granska eventuella problem.

Visual Studio

Innan du fortsätter läser du Skapa och distribuera till Cloud Services (utökad support) i Visual Studio.

I Visual Studio måste du göra två konfigurationsändringar. Du konfigurerar tjänstkonfigurationen så att den lokala kontexten är anpassad till molnkontexten och sedan anger du var ditt nyckelvalv finns.

För tjänstkonfigurationen kopierar du innehållet i molnkontexten (filen ServiceConfiguration.Cloud.cscfg ) och klistrar in dem i den lokala kontexten (filen ServiceConfiguration.Local.cscfg ). Har du en annan konfiguration eller behöver du fortfarande den lokala konfigurationsfilen för andra användningsområden? Om något av villkoren är sant bevarar du elementen certificate från den befintliga lokala kontexten.

I fönstret Visual Studio Solution Explorer högerklickar du på projektnoden och väljer sedan Publicera. Fortsätt genom guiden Publicera Azure Application tills du kommer till fliken Inställningar. På den fliken anger du fältet Nyckelvalv till den plats där ditt nyckelvalv sparas. Välj slutligen knappen Publicera och vänta sedan tills distributionen har slutförts.

När du har gjort konfigurationsändringarna kan kunderna kommunicera med din webbplats för molntjänster med hjälp av HTTPS-protokollet. Om certifikatet är självsignerat kan webbläsaren rapportera en varning om att certifikatet inte är säkert, men webbläsaren blockerar inte anslutningen.

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.