Freigeben über

Importieren von Zertifikaten aus Azure Key Vault in Azure Container Apps

  • Artikel

Sie können Azure Key Vault einrichten, um die TLS-/SSL-Zertifikate Ihrer Container-App zentral zu verwalten und somit Updates, Verlängerungen und die Überwachung zu verarbeiten.

Voraussetzungen

Zum Speichern Ihres Zertifikats ist eine Azure Key Vault-Ressource erforderlich. Iniformationen zum Erstellen einer Key Vault-Instanz und zum Hinzufügen eines Zertifikats finden Sie unter Importieren eines Zertifikats in Azure Key Vault oder Konfigurieren der automatischen Zertifikatrotation in Key Vault.

Ausnahmen

Obwohl der Großteil der Zertifikattypen unterstützt wird, gibt es einige Ausnahmen, die Sie berücksichtigen sollten.

  • ECDSA-Zertifikate der Typen p384 und p521 werden nicht unterstützt.
  • Aufgrund der Speicherung von App Services-Zertifikaten in Key Vault können diese nicht über das Azure-Portal importiert werden und erfordern die Azure-Befehlszeilenschnittstelle.

Aktivieren der verwalteten Identität für die Container Apps-Umgebung

Azure Container Apps verwendet eine verwaltete Identität auf Umgebungsebene, um auf Ihre Key Vault-Instanz zuzugreifen und Ihr Zertifikat zu importieren. Führen Sie zum Aktivieren einer systemseitig zugewiesenen verwalteten Identität die folgenden Schritte aus:

  1. Öffnen Sie das Azure-Portal, und suchen Sie Ihre Azure Container Apps-Umgebung, in der Sie ein Zertifikat importieren möchten.

  2. Wählen Sie unter Einstellungen die Option Identität aus.

  3. Suchen Sie auf der Registerkarte Systemseitig zugewiesen die Option für Status, und wählen Sie Ein aus.

  4. Wählen Sie Speichern und dann Ja aus, wenn das Fenster Systemseitig zugewiesene verwaltete Identität aktivieren angezeigt wird.

  5. Wählen Sie unter der Bezeichnung Berechtigungen die Option Azure-Rollenzuweisungen aus, um das Fenster „Rollenzuweisungen“ zu öffnen.

  6. Wählen Sie Rollenzuweisung hinzufügen aus, und geben Sie die folgenden Werte ein:

    Eigenschaft Wert
    Bereich Wählen Sie Key Vault aus.
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource Wählen Sie Ihren Tresor aus.
    Role Wählen Sie Key Vault Secrets User (Geheimnisbenutzer für Schlüsseltresore).

  7. Wählen Sie Speichern.

Weitere Informationen zu RBAC und Legacyzugriffsrichtlinien finden Sie unter Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy).

Importieren eines Zertifikats aus Key Vault

  1. Öffnen Sie das Azure-Portal, und navigieren Sie zu Ihrer Azure Container Apps-Umgebung.

  2. Wählen Sie unter Einstellungen die Option Zertifikate aus.

  3. Wählen Sie die Registerkarte Eigene Zertifikate verwenden (.pfx) aus.

  4. Klicken Sie auf Zertifikat hinzufügen.

  5. Wählen Sie im Bereich Zertifikat hinzufügen unter Quelle die Option Aus Key Vault importieren aus.

  6. Wählen Sie Key Vault-Zertifikat auswählen und dann die folgenden Werte aus:

    Eigenschaft Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Key vault Wählen Sie Ihren Tresor aus.
    Zertifikat Wählen Sie Ihr Zertifikat aus.

    Hinweis

    Wenn der Fehler „Der Vorgang "Auflisten" ist in der Zugriffsrichtlinie für diesen Schlüsseltresor nicht aktiviert.“ angezeigt wird, müssen Sie eine Zugriffsrichtlinie in Ihrer Key Vault-Instanz konfigurieren, damit Ihr Benutzerkonto Zertifikate auflisten kann. Weitere Informationen finden Sie unter Zuweisen einer Key Vault-Zugriffsrichtlinie.

  7. Wählen Sie Auswählen.

  8. Wählen Sie im Bereich Zertifikat hinzufügen unter Verwaltete Identität die Option Systemseitig zugewiesene aus. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden, wählen Sie ihre benutzerseitig zugewiesene verwaltete Identität aus.

  9. Wählen Sie Hinzufügen.

Hinweis

Wenn Sie eine Fehlermeldung erhalten, überprüfen Sie, ob die verwaltete Identität der Rolle Geheimnisbenutzer für Schlüsseltresore in Key Vault zugewiesen ist.

Konfigurieren einer benutzerdefinierten Domäne

Nachdem Sie Ihr Zertifikat konfiguriert haben, können Sie es verwenden, um Ihre benutzerdefinierte Domäne zu sichern. Führen Sie die Schritte unter Hinzufügen einer benutzerdefinierten Domäne aus, und wählen Sie das Zertifikat aus, das Sie aus Key Vault importiert haben.

Rotieren von Zertifikaten

Wenn Sie Ihr Zertifikat in Key Vault rotieren, aktualisiert Azure Container Apps automatisch das Zertifikat in Ihrer Umgebung. Es dauert bis zu 12 Stunden, bis das neue Zertifikat angewendet wird.

Zertifikate in Azure Container Apps