Sertifikalar ve App Service Ortamı

Not

Bu makale, Yalıtılmış v2 App Service planlarıyla kullanılan App Service Ortamı v3 hakkındadır

App Service Ortamı, Azure sanal ağınızda çalışan bir Azure Uygulaması Hizmeti dağıtımıdır. İnternet'in erişebildiği bir uygulama uç noktası veya sanal ağınızdaki bir uygulama uç noktası ile dağıtılabilir. App Service Ortamı İnternet'te erişilebilen bir uç noktayla dağıtırsanız, bu dağıtıma Dış App Service Ortamı adı verilir. App Service Ortamı sanal ağınızdaki bir uç noktayla dağıtırsanız, bu dağıtımALB App Service Ortamı olarak adlandırılır. ILB App Service Ortamı oluşturma ve kullanma belgesinden ILB App Service Ortamı hakkında daha fazla bilgi edinebilirsiniz.

Uygulama sertifikaları

Bir App Service Ortamı barındırılan uygulamalar, çok kiracılı App Service'te de kullanılabilen aşağıdaki uygulama merkezli sertifika özelliklerini destekler. Bu sertifikaları karşıya yükleme ve yönetme gereksinimleri ve yönergeleri için bkz. Azure Uygulaması Hizmetinde TLS/SSL sertifikası ekleme.

• SNI sertifikaları
• KeyVault tarafından barındırılan sertifikalar

Sertifikayı App Service uygulamanıza veya işlev uygulamanıza ekledikten sonra özel bir etki alanı adının güvenliğini sağlayabilir veya uygulama kodunuzda kullanabilirsiniz.

Sınırlamalar

App Service tarafından yönetilen sertifikalar, bir App Service Ortamı barındırılan uygulamalarda desteklenmez.

TLS ayarları

TLS ayarını uygulama düzeyinde yapılandırabilirsiniz.

Özel istemci sertifikası

Yaygın bir kullanım örneği, uygulamanızı istemci-sunucu modelinde istemci olarak yapılandırmaktır. Sunucunuzun güvenliğini özel CA sertifikasıyla sağlarsanız, istemci sertifikasını (.cer dosyası) uygulamanıza yüklemeniz gerekir. Aşağıdaki yönergeler, sertifikalarını uygulamanızın üzerinde çalıştığı çalışanların güven deposuna yükler. Sertifikayı aynı App Service planındaki uygulamalarla kullanmak için yalnızca bir kez karşıya yüklemeniz gerekir.

Not

Özel istemci sertifikaları yalnızca Windows kod uygulamalarında özel koddan desteklenir. Özel istemci sertifikaları uygulama dışında desteklenmez. Bu, uygulama kapsayıcı görüntüsünü özel sertifika kullanarak kayıt defterinden çekme ve özel sertifika kullanarak ön uç sunucuları üzerinden TLS doğrulama gibi senaryolarda kullanımı sınırlar.

Sertifikayı (.cer dosya) App Service Ortamı uygulamanıza yüklemek için bu adımları izleyin. .cer dosyası sertifikanızdan dışarı aktarılabilir. Test amacıyla, sonunda otomatik olarak imzalanan geçici bir sertifika oluşturmaya yönelik bir PowerShell örneği vardır:

1. Azure portalında sertifikaya ihtiyaç duyan uygulamaya gidin

2. Uygulamada Sertifikalar'a gidin. Ortak Anahtar Sertifikası (.cer) öğesini seçin. Sertifika ekle'yi seçin. Bir ad girin. .cer dosyanıza göz atın ve dosyayı seçin. Karşıya yükle'yi seçin.

3. Parmak izini kopyalayın.

4. Yapılandırma>Uygulaması Ayarları'na gidin. Değer olarak parmak iziyle WEBSITE_LOAD_ROOT_CERTIFICATES bir uygulama ayarı oluşturun. Birden çok sertifikanız varsa, bunları virgülle ayırıp boşluk bırakmadan aynı ayara yerleştirebilirsiniz.

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Sertifika, bu ayarı yapılandıran uygulamayla aynı app service planındaki tüm uygulamalar tarafından kullanılabilir, ancak özel CA sertifikasına bağımlı tüm uygulamalarda zamanlama sorunlarını önlemek için Uygulama Ayarı yapılandırılmış olmalıdır.

Farklı bir App Service planındaki uygulamalar için kullanılabilir olması gerekiyorsa, bu App Service planındaki uygulamalar için uygulama ayarı işlemini yinelemeniz gerekir. Sertifikanın ayarlanıp ayarlanmadığını denetlemek için Kudu konsoluna gidin ve PowerShell hata ayıklama konsolunda aşağıdaki komutu verin:

dir Cert:\LocalMachine\Root

Test gerçekleştirmek için otomatik olarak imzalanan bir sertifika oluşturabilir ve aşağıdaki PowerShell ile bir .cer dosyası oluşturabilirsiniz:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Özel sunucu sertifikası

Uygulamanız bir istemci-sunucu modelinde, ters ara sunucunun arkasında veya doğrudan özel istemcide sunucu olarak görev yapıyorsa ve özel bir CA sertifikası kullanıyorsanız, tam sertifika zincirine sahip sunucu sertifikasını (.pfx dosyası) uygulamanıza yüklemeniz ve sertifikayı özel etki alanına bağlamanız gerekir. Altyapı App Service Ortamı ayrılmış olduğundan, sunucuların güven deposuna tam sertifika zinciri eklenir. Sertifikayı aynı App Service Ortamı uygulamalarla kullanmak için yalnızca bir kez karşıya yüklemeniz gerekir.

Not

Sertifikanızı 1'in öncesinde yüklediyseniz. Ekim 2023'te sunuculara eklenecek tam sertifika zinciri için sertifikayı yeniden yüklemeniz ve yeniden bağlamanız gerekir.

Özel CA kök sertifikanızı App Service Ortamı uygulamanıza yüklemek/bağlamak için TLS/SSL ile güvenli özel etki alanını izleyin.

Sonraki adımlar

• Uygulama kodunda sertifikaları kullanma hakkında bilgi