Freigeben über


Verwenden von TLS-/SSL-Zertifikaten in Ihrer Anwendung in Azure Spring Apps

Hinweis

Die Pläne Basic, Standard und Enterprise gelten ab Mitte März 2025 als veraltet und werden über einen Zeitraum von drei Jahren eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie in der Ankündigung zur Einstellung von Azure Spring Apps.

Der Plan Standardverbrauch und dediziert gilt ab dem 30. September 2024 als veraltet und wird nach sechs Monaten vollständig eingestellt. Es wird empfohlen, auf Azure Container Apps umzustellen. Weitere Informationen finden Sie unter Migrieren des Plans „Standardverbrauch und dediziert“ von Azure Spring Apps zu Azure Container Apps.

Dieser Artikel gilt für:✅ Basic/Standard ✅ Enterprise

In diesem Artikel erfahren Sie, wie Sie öffentliche Zertifikate in Azure Spring Apps für Ihre Anwendung verwenden. Ihre App kann als Client fungieren und auf einen externen Dienst mit erforderlicher Zertifikatauthentifizierung zugreifen oder ggf. kryptografische Aufgaben ausführen.

Wenn Sie Ihre TLS-/SSL-Zertifikate über Azure Spring Apps verwalten, können Sie die Zertifikate und Ihren Anwendungscode separat verwalten und Ihre sensiblen Daten schützen. Ihr App-Code kann auf die öffentlichen Zertifikate zugreifen, die Sie Ihrer Azure Spring Apps-Instanz hinzufügen.

Voraussetzungen

  • Eine in Azure Spring Apps bereitgestellte Anwendung. Weitere Informationen finden Sie unter Schnellstart: Bereitstellen Ihrer ersten Anwendung in Azure Spring Apps, oder verwenden Sie eine vorhandene App.
  • Entweder eine Zertifikatdatei mit der Erweiterung CRT, CER, PEM oder DER oder eine bereitgestellte Instanz von Azure Key Vault einem privaten Zertifikat.

Importieren eines Zertifikats

Sie können Ihr Zertifikat entweder aus Key Vault in eine Azure Spring Apps-Instanz importieren oder eine lokale Zertifikatdatei verwenden.

Importieren eines Zertifikats aus Key Vault

Sie müssen Azure Spring Apps Zugriff auf Ihren Schlüsseltresor gewähren, bevor Sie das Zertifikat importieren.

Azure Key Vault bietet zwei Autorisierungssysteme: die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), die auf der Steuerungs- und Datenebene von Azure agiert, und das Zugriffsrichtlinienmodell, das nur auf der Datenebene agiert.

Gehen Sie zum Erteilen des Zugriffs wie folgt vor:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Schlüsseltresore und dann den Schlüsseltresor aus, aus dem Sie das Zertifikat importieren möchten.

  3. Wählen Sie im Navigationsbereich Zugriffsrichtlinien und dann Erstellen aus.

  4. Wählen Sie Zertifikatberechtigungen und dann Abrufen und Auflisten aus.

    Screenshot des Azure-Portals, der die Seite zum Erstellen einer Zugriffsrichtlinie mit dem Bereich „Berechtigung“ und den hervorgehobenen Berechtigungen „Abrufen“ und „Auflisten“ zeigt.

  5. Wählen Sie unter Prinzipal die Option Azure Spring Cloud-Ressourcenanbieter aus.

    Screenshot des Azure-Portals, auf dem die Registerkarte „Erstellen einer Zugriffsrichtlinie“ mit hervorgehobenem Azure Spring Cloud-Ressourcenanbieter angezeigt wird.

  6. Wählen Sie Überprüfen + erstellen und dann Erstellen aus.

Nachdem Sie Zugriff auf Ihren Schlüsseltresor gewährt haben, können Sie das Zertifikat mithilfe der folgenden Schritte importieren:

  1. Navigieren Sie zu Ihrer Dienstinstanz.

  2. Wählen Sie im linken Navigationsbereich Ihrer Instanz die Option TLS/SSL-Einstellungen aus.

  3. Wählen Sie Key Vault-Zertifikat importieren im Abschnitt Zertifikate für öffentliche Schlüssel aus.

  4. Wählen Sie ihren Schlüsseltresor im Abschnitt Key Vaults aus, wählen Sie Ihr Zertifikat im Abschnitt Zertifikat aus, und wählen Sie dann Auswählen aus.

  5. Geben Sie einen Wert für Zertifikatname an, wählen Sie bei Bedarf Aktivieren der automatischen Synchronisierung aus, und wählen Sie dann Anwenden aus. Weitere Informationen finden Sie im Abschnitt Automatisches Synchronisierungszertifikat der Zuordnung einer vorhandenen benutzerdefinierten Domäne zu Azure Spring Apps.

Nachdem das Zertifikat erfolgreich importiert wurde, wird es in der Liste „Zertifikate für öffentliche Schlüssel“ angezeigt.

Hinweis

Die Azure Key Vault- und Azure Spring Apps-Instanzen sollten sich im selben Mandanten befinden.

Importieren einer lokalen Zertifikatdatei

Sie können eine lokal gespeicherte Zertifikatdatei importieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Ihrer Dienstinstanz.
  2. Wählen Sie im linken Navigationsbereich Ihrer Instanz die Option TLS/SSL-Einstellungen aus.
  3. Wählen Sie Öffentliches Zertifikat hochladen im Abschnitt Zertifikate für öffentliche Schlüssel aus.

Nachdem das Zertifikat erfolgreich importiert wurde, wird es in der Liste „Zertifikate für öffentliche Schlüssel“ angezeigt.

Laden eines Zertifikats

Beginnen Sie mit den folgenden Schritten, um ein Zertifikat in Ihre Anwendung in Azure Spring Apps zu laden:

  1. Navigieren Sie zu Ihrer Anwendungsinstanz.
  2. Wählen Sie im linken Navigationsbereich Ihrer App die Option Zertifikatverwaltung aus.
  3. Wählen Sie Zertifikat hinzufügen aus, um Zertifikate auszuwählen, auf die durch die App zugegriffen werden kann.

Screenshot des Azure-Portals, auf dem die Seite „Zertifikatverwaltung“ mit hervorgehobener Schaltfläche „Zertifikat hinzufügen“ angezeigt wird.

Laden eines Zertifikats aus Code

Ihre geladenen Zertifikate sind im Ordner /etc/azure-spring-cloud/certs/public verfügbar. Verwenden Sie den folgenden Java-Code, um ein öffentliches Zertifikat in eine Anwendung in Azure Spring Apps zu laden.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Laden eines Zertifikats in den Vertrauensspeicher

Für eine Java-Anwendung können Sie In Vertrauensspeicher laden für das ausgewählte Zertifikat auswählen. Das Zertifikat wird den Java-Standard-TrustStores automatisch hinzugefügt, um einen Server mit TLS/SSL-Authentifizierung zu authentifizieren.

Das folgende Protokoll aus Ihrer App zeigt, dass das Zertifikat erfolgreich geladen wurde.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Nächste Schritte