Sdílet prostřednictvím

Import certifikátů ze služby Azure Key Vault do azure Container Apps

  • Článek

Službu Azure Key Vault můžete nastavit tak, aby centrálně spravila certifikáty TLS/SSL vaší aplikace kontejneru a zpracovávala aktualizace, obnovení a monitorování.

Požadavky

K uložení certifikátu se vyžaduje prostředek služby Azure Key Vault. Viz Import certifikátu ve službě Azure Key Vault nebo Konfigurace automatické obměny certifikátů ve službě Key Vault pro vytvoření služby Key Vault a přidání certifikátu.

Výjimky

I když se podporuje většina typů certifikátů, je potřeba mít na paměti několik výjimek.

  • Certifikáty ECDSA p384 a p521 se nepodporují.
  • Vzhledem k tomu, jak se certifikáty App Services ukládají ve službě Key Vault, není možné je importovat pomocí webu Azure Portal a vyžadovat Azure CLI.

Povolení spravované identity pro prostředí Container Apps

Azure Container Apps používá spravovanou identitu na úrovni prostředí pro přístup ke službě Key Vault a import certifikátu. Pokud chcete povolit spravovanou identitu přiřazenou systémem, postupujte takto:

  1. Otevřete Azure Portal a najděte prostředí Azure Container Apps, ve kterém chcete importovat certifikát.

  2. V Nastavení vyberte Identita.

  3. Na kartě Přiřazený systém vyhledejte přepínač Stav a vyberte Zapnuto.

  4. Vyberte Uložit a po zobrazení okna Povolit spravovanou identitu přiřazenou systémem vyberte Ano.

  5. Pod popiskem Oprávnění vyberte přiřazení rolí Azure, aby se otevřelo okno přiřazení rolí.

  6. Vyberte Přidat přiřazení role a zadejte následující hodnoty:

    Vlastnost Hodnota
    Obor Vyberte Key Vault.
    Předplatné Vyberte své předplatné Azure.
    Prostředek Vyberte svůj trezor.
    Role Vyberte uživatele tajných kódů služby Key Vault.

  7. Zvolte Uložit.

Další podrobnosti o RBAC a starších zásadách přístupu najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC) a zásadách přístupu.

Import certifikátu ze služby Key Vault

  1. Otevřete Azure Portal a přejděte do prostředí Azure Container Apps.

  2. V Nastavení vyberte Certifikáty.

  3. Vyberte kartu Přineste si vlastní certifikáty (.pfx).

  4. Vyberte Přidat certifikát.

  5. Na panelu Přidat certifikát ve zdroji vyberte Importovat ze služby Key Vault.

  6. Vyberte vybrat certifikát trezoru klíčů a vyberte následující hodnoty:

    Vlastnost Hodnota
    Předplatné Vyberte své předplatné Azure.
    Trezor klíčů Vyberte svůj trezor.
    Certifikát Vyberte certifikát.

    Poznámka:

    Pokud se zobrazí chyba Operace Seznam není v zásadách přístupu tohoto trezoru klíčů povolená, musíte ve službě Key Vault nakonfigurovat zásady přístupu, aby mohl váš uživatelský účet vypsat certifikáty. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.

  7. Zvolte Zvolit.

  8. Na panelu Přidat certifikát ve spravované identitě vyberte Přiřazený systém. Pokud používáte spravovanou identitu přiřazenou uživatelem, vyberte spravovanou identitu přiřazenou uživatelem.

  9. Vyberte Přidat.

Poznámka:

Pokud se zobrazí chybová zpráva, ověřte, že je spravovaná identita přiřazena roli uživatele tajných kódů služby Key Vault ve službě Key Vault.

Konfigurace vlastní domény

Po nakonfigurování certifikátu ho můžete použít k zabezpečení vlastní domény. Postupujte podle kroků v části Přidání vlastní domény a vyberte certifikát, který jste naimportovali ze služby Key Vault.

Rotace certifikátů

Při obměně certifikátu ve službě Key Vault služba Azure Container Apps automaticky aktualizuje certifikát ve vašem prostředí. Použití nového certifikátu trvá až 12 hodin.

Certifikáty v Azure Container Apps