憑證和 App Service Environment

  • 發行項

注意

本文是關於與隔離式 v2 App Service 方案搭配使用的 App Service 環境 v3

App Service 環境是在 Azure 虛擬網路內所執行的 Azure App Service 部署。 其可以使用網際網路可存取的應用程式端點,或是使用您虛擬網路中的應用程式端點來部署。 若您使用網際網路可存取的端點來部署 App Service 環境,該部署就稱為「外部 App Service 環境」。 若您使用虛擬網路中的端點來部署 App Service 環境,該部署就稱為「ILB App Service 環境」。 您可以從建立及使用 ILB App Service 環境文件深入了解 ILB App Service 環境。

應用程式憑證

裝載於 App Service 環境的應用程式會支援下列以應用程式為中心的憑證功能,這些功能在多租用戶 App Service 中也可使用。 如需上傳和管理這些憑證的需求和指示,請參閱在 Azure App Service 中新增 TLS/SSL 憑證

一旦您將憑證新增至您的 App Service 應用程式或函數應用程式,就可以使用其來保護自訂網域名稱,或將其用於應用程式程式碼中

限制

裝載於 App Service 環境的應用程式不支援 App Service 受控憑證

TLS 設定

您可以在應用程式層級設定 TLS 設定

私人用戶端憑證

常見使用案例是將應用程式設定為用戶端伺服器模型中的用戶端。 若您使用私人 CA 憑證保護伺服器,則必須將用戶端憑證 (.cer 檔案) 上傳至應用程式。 下列指示會將憑證載入至應用程式執行所在之背景工作角色的信任存放區。 您僅需要上傳憑證一次,即可在相同 App Service 方案的應用程式中使用該憑證。

注意

只有 Windows 程式碼應用程式中的自訂程式碼支援私人用戶端憑證。 應用程式外不支援私人用戶端憑證。 這會限制案例中的使用方式,例如使用私人憑證,從登錄提取應用程式容器映像,以及使用私人憑證透過前端伺服器驗證 TLS。

請遵循下列步驟,將憑證 (.cer 檔案) 上傳至 App Service 環境中的應用程式。 .cer 檔案可從您的憑證中匯出。 為了進行測試,結尾有 PowerShell 範例可產生暫時自我簽署憑證:

  1. 移至 Azure 入口網站中需要憑證的應用程式

  2. 移至應用程式中憑證。 選取 [公開金鑰憑證 (.cer)]。 選取 [新增憑證]。 提供名稱。 瀏覽並選取您的 .cer 檔案。 選取上傳。

  3. 複製憑證指紋。

  4. 移至 [設定]>[應用程式設定]。 建立應用程式設定 WEBSITE_LOAD_ROOT_CERTIFICATES,並以憑證指紋作為值。 如果您有多個憑證,可以將它們放在相同設定中,並以逗點分隔且不含任何空白字元,例如

    84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

此憑證將由與設定該設定的應用程式相同之 App Service 方案中的所有應用程式使用,但所有相依於私人 CA 憑證的應用程式都應該進行應用程式設定,才能避免產生計時問題。

如果您需要其可用於不同 App Service 方案中的應用程式,則必須針對該 App Service 方案的應用程式重複進行應用程式設定作業。 若要檢查是否已設定憑證,請移至 Kudu 主控台,並在 PowerShell 偵錯主控台發出下列命令:

dir Cert:\LocalMachine\Root

若要執行測試,您可以建立自我簽署的憑證,並使用下列 PowerShell 產生 .cer 檔案:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

私人伺服器憑證

如果應用程式在用戶端-伺服器模型中作為伺服器 (無論是反向 Proxy 後方,還是直接使用私人用戶端),且您使用的是私人 CA 憑證,則必須將伺服器憑證 (.pfx 檔案) 與完整的憑證鏈結上傳至應用程式,並將憑證繫結至自訂網域。 此為 App Service 環境專用的基礎結構,因此會將完整憑證鏈結新增至伺服器的信任存放區。 您僅需要上傳憑證一次,即可在相同 App Service 環境的應用程式中使用該憑證。

注意

如果您在 1 之前上傳憑證。 在 2023 年 10 月,您必須重新載入並重新繫結憑證,才能將完整憑證鏈結新增至伺服器。

請遵循使用 TLS/SSL 的安全自訂網域教學課程,將私人 CA 根憑證上傳/繫結至 App Service 環境中的應用程式。

下一步