如何在 Azure API 管理中新增自訂 CA 憑證

可用性

適用於：開發人員 | 基本 | 標準 | 進階

Azure API 管理可允許在信任根存放區和中繼憑證存放區內的機器上，安裝 CA 憑證。 如果您的服務需要自訂 CA 憑證，則應該使用這項功能。

本文說明如何在 Azure 入口網站中，管理 Azure API 管理服務執行個體的 CA 憑證。 例如，如果您使用自我簽署用戶端憑證，您可以將自訂受信任的根憑證上傳至 API 管理。

上傳至 API 管理的 CA 憑證只能用於受控 API 管理閘道的憑證驗證。 如果您使用自我裝載閘道，請稍後在此文章中瞭解如何建立自我裝載閘道的自訂 CA。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用，請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

上傳 CA 憑證

請依照下列步驟來上傳新的 CA 憑證。 如果您尚未建立 API 管理服務執行個體，請參閱建立 API 管理服務執行個體教學課程。

1. 在 Azure 入口網站中瀏覽至您的 Azure API 管理服務執行個體。

2. 在功能表中的 [安全性] 底下，選取 [憑證] > [CA 憑證] > [+ 新增]。

3. 瀏覽憑證 .cer 檔案並決定憑證存放區。 僅需要公開金鑰，因此密碼為選用。

   

4. 選取 [儲存]。 這項作業可能需要幾分鐘的時間。

注意

• 指派憑證的流程可能需要 15 分鐘以上，視部署大小而定。 開發人員 SKU 會在流程期間停機。 基本和更高的 SKU 在流程期間沒有停機時間。
• 您也可以使用 New-AzApiManagementSystemCertificate Powershell 命令來上傳 CA 憑證。

刪除 CA 憑證

選取憑證，然後在捷徑功能表 (...) 中選取 [刪除]。

建立自我裝載閘道的自訂 CA

如果您使用自我裝載閘道，則不支援使用上傳至 API 管理服務的 CA 根憑證進行伺服器和用戶端憑證驗證。 若要建立信任，請設定特定的用戶端憑證，讓閘道信任該憑證做為自訂憑證授權單位單位。

使用閘道憑證授權單位單位 REST API 來建立和管理自我裝載閘道的自訂 CA。 若要建立自訂 CA：

1. 新增憑證 .pfx 檔案至 API 管理執行個體。
2. 使用閘道憑證授權單位單位 - 建立或更新 REST API，將憑證與自我管理閘道產生關聯。