Použití certifikátů TLS/SSL ve vaší aplikaci v Azure Spring Apps

Poznámka:

Plány Basic, Standard a Enterprise budou od poloviny března 2025 vyřazeny ze 3letého období vyřazení. Doporučujeme přejít na Azure Container Apps. Další informace najdete v oznámení o vyřazení Azure Spring Apps.

Od 30. září 2024 bude od 30. září 2024 zastaralý plán s úplným vypnutím po šesti měsících. Doporučujeme přejít na Azure Container Apps. Další informace najdete v tématu Migrace spotřeby Azure Spring Apps Úrovně Standard a vyhrazeného plánu do Azure Container Apps.

Tento článek se vztahuje na:✅ Basic/Standard ✅ Enterprise

V tomto článku se dozvíte, jak používat veřejné certifikáty ve službě Azure Spring Apps pro vaši aplikaci. Vaše aplikace může fungovat jako klient a přistupovat k externí službě, která vyžaduje ověření certifikátu, nebo může potřebovat provádět kryptografické úlohy.

Když necháte Azure Spring Apps spravovat certifikáty TLS/SSL, můžete certifikáty a kód aplikace udržovat samostatně, abyste ochránili citlivá data. Kód aplikace má přístup k veřejným certifikátům, které přidáte do instance Azure Spring Apps.

Požadavky

• Aplikace nasazená do Azure Spring Apps Viz Rychlý start: Nasazení první aplikace v Azure Spring Apps nebo použití existující aplikace.
• Soubor certifikátu s příponou .crt, .cer, .pem nebo .der nebo nasazenou instanci služby Azure Key Vault s privátním certifikátem.

Import certifikátu

Certifikát můžete importovat do instance Azure Spring Apps ze služby Key Vault nebo použít místní soubor certifikátu.

Import certifikátu ze služby Key Vault

Před importem certifikátu musíte službě Azure Spring Apps udělit přístup ke svému trezoru klíčů.

Azure Key Vault nabízí dva systémy autorizace: řízení přístupu na základě role v Azure (Azure RBAC), které funguje na řídicích rovinách Azure a rovinách dat, a model zásad přístupu, který funguje samostatně v rovině dat.

Pomocí následujících kroků udělte přístup:

Zásady přístupu

1. Přihlaste se k portálu Azure.

2. Vyberte trezory klíčů a pak vyberte trezor klíčů, ze které certifikát importujete.

3. V navigačním podokně vyberte Zásady přístupu a pak vyberte Vytvořit.

4. Vyberte oprávnění certifikátu a pak vyberte Získat a zobrazit seznam.

   

5. V části Instanční objekt vyberte Poskytovatele prostředků Azure Spring Cloud.

   

6. Vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

RBAC

1. Přihlaste se k portálu Azure.

2. Vyberte trezory klíčů a pak vyberte trezor klíčů, ze které certifikát importujete.

3. V navigačním podokně vyberte Řízení přístupu (IAM) a pak vyberte Přidat přiřazení role.

4. Vyhledejte certifikát a pak vyberte roli s názvem Uživatel certifikátu služby Key Vault.

   

5. V části Členové vyberte Vybrat členy. Vyhledejte poskytovatele prostředků Azure Spring Cloud, vyberte poskytovatele a pak vyberte Vybrat.

   

6. Vyberte Zkontrolovat + přiřadit.

Po udělení přístupu k trezoru klíčů můžete certifikát importovat pomocí následujícího postupu:

1. Přejděte do instance služby.

2. V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.

3. V části Certifikáty veřejných klíčů vyberte Importovat certifikát služby Key Vault.

4. V části Trezory klíčů vyberte trezor klíčů, v části Certifikát vyberte certifikát a pak vyberte Vybrat.

5. Zadejte hodnotu názvu certifikátu, v případě potřeby vyberte Povolit automatickou synchronizaci a pak vyberte Použít. Další informace najdete v části Automatické synchronizace certifikátu mapování existující vlastní domény na Azure Spring Apps.

Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.

Poznámka:

Instance služby Azure Key Vault a Azure Spring Apps by měly být ve stejném tenantovi.

Import místního souboru certifikátu

Soubor certifikátu uložený místně můžete importovat pomocí následujícího postupu:

1. Přejděte do instance služby.
2. V levém navigačním podokně vaší instance vyberte nastavení TLS/SSL.
3. V části Certifikáty veřejných klíčů vyberte Nahrát veřejný certifikát.

Po úspěšném importu certifikátu se zobrazí v seznamu certifikátů veřejných klíčů.

Načtení certifikátu

Pokud chcete do aplikace v Azure Spring Apps načíst certifikát, začněte těmito kroky:

1. Přejděte do instance aplikace.
2. V levém navigačním podokně aplikace vyberte Správa certifikátů.
3. Vyberte Přidat certifikát a zvolte certifikáty přístupné pro aplikaci.

Načtení certifikátu z kódu

Načtené certifikáty jsou k dispozici ve složce /etc/azure-spring-cloud/certs/public . Pomocí následujícího kódu Java načtěte veřejný certifikát v aplikaci v Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Načtení certifikátu do úložiště důvěryhodnosti

U aplikace v Javě můžete pro vybraný certifikát zvolit Načíst do úložiště důvěryhodnosti. Certifikát se automaticky přidá do výchozích certifikátů TrustStore v Javě pro ověření serveru v ověřování TLS/SSL.

Následující protokol z vaší aplikace ukazuje, že se certifikát úspěšně načetl.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Další kroky

• Povolení zabezpečení přenosové vrstvy příchozího přenosu dat do aplikace
• Přístup ke konfiguračnímu serveru a registru služeb