Použití certifikátů TLS/SSL ve vaší aplikaci v Azure Spring Apps

Poznámka:

Plány Basic, Standarda Enterprise vstoupily do důchodového období 17. března 2025. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Plán Standardní spotřeba a vyhrazený plán vstoupily do fáze vyřazování dne 30. září 2024 s úplným vypnutím do konce března 2025. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

V tomto článku se dozvíte, jak používat veřejné certifikáty ve službě Azure Spring Apps pro vaši aplikaci. Vaše aplikace může fungovat jako klient a přistupovat k externí službě, která vyžaduje ověření certifikátu, nebo může potřebovat provádět kryptografické úlohy.

Když necháte Azure Spring Apps spravovat certifikáty TLS/SSL, můžete certifikáty a kód aplikace udržovat samostatně, abyste ochránili citlivá data. Kód aplikace má přístup k veřejným certifikátům, které přidáte do instance Azure Spring Apps.

Požadavky

• Aplikace nasazená do Azure Spring Apps Viz Rychlý start: Nasazení první aplikace v Azure Spring Apps nebo použití existující aplikace.
• Soubor certifikátu s příponou .crt, .cer, .pem nebo .der nebo nasazenou instanci služby Azure Key Vault s privátním certifikátem.

Import certifikátu

Certifikát můžete importovat do instance Azure Spring Apps ze služby Key Vault nebo použít místní soubor certifikátu.

Import certifikátu ze služby Key Vault

Před importem certifikátu musíte službě Azure Spring Apps udělit přístup ke svému trezoru klíčů.

Azure Key Vault nabízí dva systémy autorizace: řízení přístupu na základě role v Azure (Azure RBAC), které funguje na řídicích rovinách Azure a rovinách dat, a model zásad přístupu, který funguje samostatně v rovině dat.

Pomocí následujících kroků udělte přístup:

Zásady přístupu

1. Přihlaste se k portálu Azure.

2. Vyberte trezory klíčů a pak vyberte trezor klíčů, ze které certifikát importujete.

3. V navigačním podokně vyberte Zásady přístupu a pak vyberte Vytvořit.

4. Vyberte oprávnění certifikátu a pak vyberte Získat a Seznam.

   

5. V části Hlavní vyberte Poskytovatele prostředků Azure Spring Cloud.

   

6. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

RBAC

1. Přihlaste se k portálu Azure.

2. Vyberte trezory klíčů a pak vyberte trezor klíčů, ze které certifikát importujete.

3. V navigačním podokně vyberte Řízení přístupu (IAM) a pak vyberte Přidat přiřazení role.

4. Vyhledejte certifikát a pak vyberte roli s názvem Uživatel certifikátu služby Key Vault.

   

5. V části Členové vyberte Vybrat členy. Vyhledejte poskytovatele prostředků Azure Spring Cloud, vyberte poskytovatele a pak vyberte Vybrat.

   

6. Vyberte Zkontrolovat + přiřadit.

Po udělení přístupu k trezoru klíčů můžete certifikát importovat pomocí následujícího postupu:

1. Přejděte do instance služby.

2. V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.

3. Vyberte Importovat certifikát Key Vault v části Certifikáty veřejných klíčů.

4. V části Trezory klíčů vyberte trezor klíčů, v části Certifikát vyberte certifikát a pak vyberte Vybrat.

5. Zadejte hodnotu názvu certifikátu, v případě potřeby vyberte Povolit automatickou synchronizaci a pak vyberte Použít. Další informace najdete v části Synchronizace certifikátu v Mapování existující vlastní domény na Azure Spring Apps.

Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.

Poznámka:

Instance služby Azure Key Vault a Azure Spring Apps by měly být ve stejném tenantovi.

Import místního souboru certifikátu

Soubor certifikátu uložený místně můžete importovat pomocí následujícího postupu:

1. Přejděte do instance služby.
2. V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.
3. V části Certifikáty veřejných klíčů vyberte Nahrát veřejný certifikát.

Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.

Načtení certifikátu

Pokud chcete do aplikace v Azure Spring Apps načíst certifikát, začněte těmito kroky:

1. Přejděte do instance aplikace.
2. V levém navigačním podokně aplikace vyberte Správa certifikátů.
3. Vyberte Přidat certifikát a zvolte certifikáty přístupné pro aplikaci.

Načtení certifikátu z kódu

Načtené certifikáty jsou k dispozici ve složce /etc/azure-spring-cloud/certs/public . Pomocí následujícího kódu Java načtěte veřejný certifikát v aplikaci v Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Načtení certifikátu do úložiště důvěryhodných certifikátů

U aplikace v Javě můžete pro vybraný certifikát zvolit Načíst do důvěryhodného úložiště. Certifikát se automaticky přidá do výchozích certifikátů TrustStore v Javě pro ověření serveru v ověřování TLS/SSL.

Následující protokol z vaší aplikace ukazuje, že se certifikát úspěšně načetl.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Další kroky

• Povolit zabezpečení přenosové vrstvy pro vstup do aplikace
• Přístup ke konfiguračnímu serveru a registru služeb