Sdílet prostřednictvím

Certifikáty a app Service Environment v2

  • Článek

Důležité

Tento článek se týká služby App Service Environment v2, která se používá s plány izolované služby App Service. App Service Environment verze 1 a v2 se od 31. srpna 2024 vyřadí z provozu. Existuje nová verze služby App Service Environment, která se snadněji používá a běží na výkonnější infrastruktuře. Další informace o nové verzi najdete v úvodu do služby App Service Environment. Pokud aktuálně používáte App Service Environment v1, postupujte podle kroků v tomto článku a proveďte migraci na novou verzi.

Od 31. srpna 2024 se kredity sla (Service Level Agreement) a Service Credits již nevztahují na úlohy služby App Service Environment verze 1 a v2, které jsou nadále v produkčním prostředí, protože jsou vyřazené produkty. Vyřazování hardwaru služby App Service Environment v1 a v2 začalo a to může mít vliv na dostupnost a výkon vašich aplikací a dat.

Migraci do služby App Service Environment v3 musíte dokončit okamžitě nebo se můžou odstranit vaše aplikace a prostředky. Pokusíme se automaticky migrovat všechny zbývající služby App Service Environment v1 a v2 s využitím funkce místní migrace, ale Microsoft po automatické migraci neposkytuje žádné nároky ani záruky týkající se dostupnosti aplikací. Možná budete muset provést ruční konfiguraci pro dokončení migrace a optimalizovat výběr skladové položky plánu služby App Service tak, aby vyhovovala vašim potřebám. Pokud automatická migrace není proveditelná, odstraní se vaše prostředky a přidružená data aplikací. Důrazně vás vyzýváme, abyste se vyhnuli některým z těchto extrémních scénářů.

Pokud potřebujete další čas, můžeme vám nabídnout jednorázovou 30denní lhůtu pro dokončení migrace. Pokud potřebujete další informace a požádat o toto období odkladu, projděte si přehled období odkladu a pak přejděte na web Azure Portal a přejděte do okna Migrace pro každou službu App Service Environment.

Nejaktuálnější informace o vyřazení služby App Service Environment v1/v2 najdete v aktualizaci vyřazení služby App Service Environment v1 a v2.

Služba App Service Environment (ASE) je nasazení služby Aplikace Azure, která běží ve vaší virtuální síti Azure. Dá se nasadit pomocí koncového bodu aplikace přístupného z internetu nebo koncového bodu aplikace, který je ve vaší virtuální síti. Pokud službu ASE nasadíte s koncovým bodem přístupným z internetu, nazývá se toto nasazení externí služba ASE. Pokud službu ASE nasadíte s koncovým bodem ve virtuální síti, toto nasazení se nazývá služba ASE s interním nástrojem pro vyrovnávání zatížení. Další informace o službě ASE s interním nástrojem pro vyrovnávání zatížení najdete v dokumentu Vytvoření a použití služby ASE s interním nástrojem pro vyrovnávání zatížení.

Služba ASE je jeden systém tenantů. Vzhledem k tomu, že se jedná o jednoho tenanta, jsou některé funkce dostupné jenom se službou ASE, která není ve službě App Service s více tenanty dostupná.

Certifikáty SLUŽBY ASE s interním nástrojem pro vyrovnávání zatížení

Pokud používáte externí službu ASE, vaše aplikace se dostane na název <>aplikace.<asename.p.azurewebsites.net>. Ve výchozím nastavení jsou všechny služby ASE vytvořené i s interním nástrojem pro vyrovnávání zatížení s certifikáty, které tento formát následují. Pokud máte ase s interním nástrojem pro vyrovnávání zatížení, budou aplikace dostupné na základě názvu domény, který zadáte při vytváření služby ASE s interním nástrojem pro vyrovnávání zatížení. Aby aplikace podporovaly protokol TLS, musíte nahrát certifikáty. Získání platného certifikátu TLS/SSL pomocí interních certifikačních autorit, zakoupení certifikátu od externího vystavitele nebo použití certifikátu podepsaného svým držitelem.

Existují dvě možnosti konfigurace certifikátů pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení. Můžete nastavit výchozí certifikát služby ASE s interním nástrojem pro vyrovnávání zatížení nebo nastavit certifikáty pro jednotlivé webové aplikace ve službě ASE. Bez ohledu na to, kterou zvolíte, musí být správně nakonfigurované následující atributy certifikátu:

  • Předmět: Tento atribut musí být nastaven na *.[ your-root-domain-here] for a wildcard ILB ASE certificate. Pokud vytváříte certifikát pro vaši aplikaci, mělo by to být [název_aplikace]. [your-root-domain-here]
  • Alternativní název subjektu: Tento atribut musí obsahovat oba .[ your-root-domain-here] and.scm.[ váš-root-domain-here] pro certifikát ase s interním nástrojem pro vyrovnávání zatížení se zástupným znakem. Pokud vytváříte certifikát pro vaši aplikaci, mělo by to být [název_aplikace]. [your-root-domain-here] a [appname].scm. [your-root-domain-here].

Jako třetí variantu můžete vytvořit certifikát ASE s interním nástrojem pro vyrovnávání zatížení, který obsahuje všechny názvy jednotlivých aplikací v síti SAN certifikátu místo použití odkazu na zástupný znak. Problém s touto metodou spočívá v tom, že potřebujete znát názvy aplikací, které vkládáte do služby ASE, nebo potřebujete dál aktualizovat certifikát SLUŽBY ASE s interním nástrojem pro vyrovnávání zatížení.

Nahrání certifikátu do služby ASE s interním nástrojem pro vyrovnávání zatížení

Po vytvoření služby ASE s interním nástrojem pro vyrovnávání zatížení na portálu musí být certifikát nastavený pro službu ASE s interním nástrojem pro vyrovnávání zatížení. Dokud se certifikát nenastaví, služba ASE zobrazí banner, který certifikát nenastavil.

Certifikát, který nahrajete, musí být souborem .pfx. Po nahrání certifikátu je časové zpoždění přibližně 20 minut, než se certifikát použije.

Nemůžete vytvořit ASE a nahrát certifikát jako jednu akci na portálu nebo dokonce v jedné šabloně. Jako samostatnou akci můžete certifikát nahrát pomocí šablony, jak je popsáno v dokumentu šablony Vytvoření ase.

Pokud chcete rychle vytvořit certifikát podepsaný svým držitelem pro testování, můžete použít následující bit PowerShellu:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.pfx"
Export-PfxCertificate -cert $certThumbprint -FilePath $fileName -Password $password

Při vytváření certifikátu podepsaného svým držitelem musíte zajistit, aby název subjektu byl ve formátu CN={ASE_NAME_HERE}_InternalLoadBalancingASE.

Certifikáty aplikací

Aplikace hostované v ASE můžou používat funkce certifikátů zaměřené na aplikaci, které jsou dostupné ve službě App Service pro více tenantů. Mezi tyto funkce patří:

  • Certifikáty SNI
  • PROTOKOL SSL založený na PROTOKOLU IP, který se podporuje pouze s externí službou ASE. Služba ASE s interním nástrojem pro vyrovnávání zatížení nepodporuje PROTOKOL SSL založený na PROTOKOLU IP.
  • Hostované certifikáty služby KeyVault

Pokyny k nahrání a správě těchto certifikátů jsou k dispozici v části Přidání certifikátu TLS/SSL ve službě Aplikace Azure Service. Pokud jednoduše konfigurujete certifikáty tak, aby odpovídaly vlastnímu názvu domény, který jste přiřadili k webové aplikaci, stačí tyto pokyny. Pokud nahráváte certifikát pro webovou aplikaci ASE s interním nástrojem pro vyrovnávání zatížení s výchozím názvem domény, zadejte web scm v síti SAN certifikátu, jak je uvedeno výše.

Nastavení protokolu TLS

Nastavení protokolu TLS můžete nakonfigurovat na úrovni aplikace.

Privátní klientský certifikát

Běžným případem použití je konfigurace aplikace jako klienta v modelu klientského serveru. Pokud server zabezpečíte pomocí certifikátu privátní certifikační autority, budete muset nahrát klientský certifikát do aplikace. Následující pokyny načtou certifikáty do úložiště důvěryhodných pracovních procesů, na kterých vaše aplikace běží. Pokud certifikát načtete do jedné aplikace, můžete ho použít s ostatními aplikacemi ve stejném plánu služby App Service, aniž byste certifikát nahráli znovu.

Nahrání certifikátu do aplikace ve službě ASE:

  1. Vygenerujte soubor .cer pro certifikát.
  2. Přejděte do aplikace, která potřebuje certifikát na webu Azure Portal.
  3. V aplikaci přejděte na nastavení SSL. Klikněte na Nahrát certifikát. Vyberte Veřejný. Vyberte místní počítač. Zadejte název. Vyhledejte soubor .cer a vyberte ho. Vyberte nahrát.
  4. Zkopírujte kryptografický otisk.
  5. Přejděte na Nastavení aplikace. Vytvořte nastavení aplikace WEBSITE_LOAD_ROOT_CERTIFICATES s kryptografickým otiskem jako hodnotou. Pokud máte více certifikátů, můžete je umístit do stejného nastavení odděleného čárkami a bez prázdných znaků.

84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certifikát bude dostupný všemi aplikacemi ve stejném plánu služby App Service jako aplikace, která toto nastavení nakonfigurovala. Pokud potřebujete, aby byly aplikace dostupné v jiném plánu služby App Service, budete muset operaci nastavení aplikace opakovat v aplikaci v daném plánu služby App Service. Pokud chcete zkontrolovat, jestli je certifikát nastavený, přejděte do konzoly Kudu a v konzole ladění PowerShellu zadejte následující příkaz:

dir cert:\localmachine\root

Pokud chcete provést testování, můžete vytvořit certifikát podepsaný svým držitelem a vygenerovat soubor .cer pomocí následujícího PowerShellu:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.cer"
export-certificate -Cert $certThumbprint -FilePath $fileName -Type CERT