Aracılığıyla paylaş


Azure Cloud Services’de sertifikalara genel bakış (klasik)

Önemli

Cloud Services (klasik), 1 Eylül 2024 itibarıyla tüm müşteriler için kullanım dışı bırakılmıştır. Mevcut tüm çalışan dağıtımlar Microsoft tarafından durdurulacak ve kapatılacak ve Veriler Ekim 2024'den itibaren kalıcı olarak kaybolacaktır. Yeni dağıtımlarda yeni Azure Resource Manager tabanlı dağıtım modeli Azure Cloud Services (genişletilmiş destek) kullanılmalıdır.

Sertifikalar Azure'da bulut hizmetleri (hizmet sertifikaları) ve yönetim API'si (yönetim sertifikaları) ile kimlik doğrulaması için kullanılır. Bu makalede, her iki sertifika türüne de genel bir genel bakış ve bunların azure'a nasıl oluşturulacağı ve dağıtılacağı anlatılır.

Azure'da kullanılan sertifikalar x.509 v3 sertifikalarıdır. Kendi kendine imza atabilir veya başka bir güvenilen sertifika bunları imzalayabilir. Sertifikayı oluşturan kişi imzaladığında otomatik olarak imzalanır. Otomatik olarak imzalanan sertifikalara varsayılan olarak güvenilmez, ancak çoğu tarayıcı bu sorunu yoksayabilir. Otomatik olarak imzalanan sertifikaları yalnızca bulut hizmetlerinizi geliştirirken ve test ederken kullanmanız gerekir.

Azure tarafından kullanılan sertifikalar ortak anahtar içerebilir. Sertifikaların, belirsiz bir şekilde tanımlamak için bir araç sağlayan bir parmak izi vardır. Bu parmak izi, bulut hizmetinin hangi sertifikayı kullanması gerektiğini belirlemek için Azure yapılandırma dosyasında kullanılır.

Not

Azure Cloud Services, AES256-SHA256 şifreli sertifikayı kabul etmez.

Hizmet sertifikaları nelerdir?

Hizmet sertifikaları, bulut hizmetlerine iliştirilir ve hizmete ve hizmetten güvenli iletişimi etkinleştirir. Örneğin, bir web rolü dağıttıysanız, kullanıma sunulan bir HTTPS uç noktasının kimliğini doğrulayan bir sertifika sağlamak isteyebilirsiniz. Hizmet tanımınızda tanımlanan hizmet sertifikaları, rolünüzün bir örneğini çalıştıran sanal makineye otomatik olarak dağıtılır.

Hizmet sertifikalarını Azure portalı veya klasik dağıtım modelini kullanarak Azure'a yükleyebilirsiniz. Hizmet sertifikaları belirli bir bulut hizmeti ile ilişkilendirilir. Hizmet tanımı dosyası bunları bir dağıtıma atar.

Hizmet sertifikaları hizmetlerinizden ayrı olarak yönetilebilir ve bunları farklı kişiler yönetebilir. Örneğin, bir geliştirici bir BT yöneticisinin daha önce Azure'a yüklediği sertifikaya başvuran bir hizmet paketini karşıya yükleyebilir. BT yöneticisi, yeni bir hizmet paketini karşıya yüklemeye gerek kalmadan bu sertifikayı yönetebilir ve yenileyebilir (hizmetin yapılandırmasını değiştirerek). Sertifikanın mantıksal adı, depo adı ve konumu hizmet tanımı dosyasında ve sertifika parmak izi hizmet yapılandırma dosyasında belirtilirken, yeni bir hizmet paketi olmadan güncelleştirilebilir. Sertifikayı güncelleştirmek için yalnızca yeni bir sertifika yüklemeniz ve hizmet yapılandırma dosyasındaki parmak izi değerini değiştirmeniz gerekir.

Not

Cloud Services SSS - Yapılandırma ve Yönetim makalesinde sertifikalar hakkında bazı yararlı bilgiler bulunur.

Yönetim sertifikaları nelerdir?

Yönetim sertifikaları, klasik dağıtım modeliyle kimlik doğrulaması yapmanıza izin verir. Birçok program ve araç (Visual Studio veya Azure SDK gibi), çeşitli Azure hizmetlerinin yapılandırılmasını ve dağıtımını otomatik hale getirmek için bu sertifikaları kullanır. Bu sertifikalar bulut hizmetleriyle ilgili değildir.

Uyarı

Dikkat et! Bu tür sertifikalar, kimlik doğrulaması yapan herkesin ilişkili oldukları aboneliği yönetmesine olanak sağlar.

Sınırlamalar

Abonelik başına 100 yönetim sertifikası sınırı vardır. Ayrıca, belirli bir hizmet yöneticisinin kullanıcı kimliği altında tüm abonelikler için 100 yönetim sertifikası sınırı vardır. Hesap yöneticisinin kullanıcı kimliği 100 yönetim sertifikası eklemek için zaten kullanılıyorsa ve daha fazla sertifika gerekiyorsa, daha fazla sertifika eklemek için ortak yönetici ekleyebilirsiniz.

Ayrıca, yönetim sertifikaları Bulut Çözümü Sağlayıcısı (CSP) abonelikleriyle kullanılamaz çünkü CSP abonelikleri yalnızca Azure Resource Manager dağıtım modelini destekler ve yönetim sertifikaları klasik dağıtım modelini kullanır. CSP aboneliklerine yönelik seçenekleriniz hakkında daha fazla bilgi için Azure Resource Manager'a ve klasik dağıtım modeline ve .NET için Azure SDK ile Kimlik Doğrulamasını Anlama'ya başvurun.

Yeni otomatik olarak imzalanan sertifika oluşturma

Bu ayarlara bağlı oldukları sürece otomatik olarak imzalanan bir sertifika oluşturmak için kullanılabilecek herhangi bir aracı kullanabilirsiniz:

  • X.509 sertifikası.

  • Ortak anahtar içerir.

  • Anahtar değişimi (.pfx dosyası) için oluşturuldu.

  • Konu adı, bulut hizmetine erişmek için kullanılan etki alanıyla eşleşmelidir.

    cloudapp.net (veya Azure ile ilgili herhangi bir etki alanı için) TLS/SSL sertifikası alamazsınız; sertifikanın konu adı, uygulamanıza erişmek için kullanılan özel etki alanı adıyla eşleşmelidir. Örneğin, contoso.cloudapp.net değil contoso.net.

  • En az 2048 bit şifreleme.

  • Yalnızca Hizmet Sertifikası: İstemci tarafı sertifikası Kişisel sertifika deposunda bulunmalıdır.

Yardımcı programı veya IIS ile Windows'ta sertifika oluşturmanın makecert.exe iki kolay yolu vardır.

Makecert.exe

Bu yardımcı program kullanımdan kaldırılmıştır ve artık burada belgelenmez. Daha fazla bilgi için bu Microsoft Developer Network (MSDN) makalesine bakın.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Not

Sertifikayı etki alanı yerine bir IP adresiyle kullanmak istiyorsanız , -DnsName parametresindeki IP adresini kullanın.

Bu sertifikayı yönetim portalıyla kullanmak istiyorsanız, .cer bir dosyaya aktarın:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

İnternet'te IIS ile sertifika oluşturmayı kapsayan, IIS Otomatik İmzalı SertifikaNın Ne Zaman Kullanılacağı gibi birçok sayfa vardır.

Linux

Hızlı adımlar: Azure'da Linux VM'leri için SSH ortak-özel anahtar çifti oluşturma ve kullanma, SSH ile sertifikaların nasıl oluşturulacağını açıklar.

Sonraki adımlar

Hizmet sertifikanızı Azure portalına yükleyin.

Azure portalına bir yönetim API'si sertifikası yükleyin.