Importer des certificats d’Azure Key Vault vers Azure Container Apps
Vous pouvez configurer Azure Key Vault pour gérer de manière centralisée les certificats TLS/SSL de votre application conteneur et gérer les mises à jour, les renouvellements et la supervision.
Prérequis
Une ressource Azure Key Vault est requise pour stocker votre certificat. Consultez Importer un certificat dans Azure Key Vault ou Configurer la rotation automatique des certificats dans Key Vault pour créer un Key Vault et ajouter un certificat.
Exceptions
Bien que la majorité des types de certificats soient pris en charge, il existe quelques exceptions à garder à l’esprit.
- Les certificats ECDSA p384 et p521 ne sont pas pris en charge.
- En raison de l’enregistrement des certificats App Services dans Key Vault, ils ne peuvent pas être importés à l’aide du Portail Azure et nécessitent Azure CLI.
Activer l’identité managée pour l’environnement Container Apps
Azure Container Apps utilise une identité managée au niveau de l’environnement pour accéder à votre Key Vault et importer votre certificat. Pour activer l’identité managée affectée par le système, procédez comme suit :
Ouvrez le Portail Azure et recherchez votre environnement Azure Container Apps où vous souhaitez importer un certificat.
Dans Paramètres, sélectionnez Identité.
Sous l’onglet Affecté par le système, recherchez le commutateur État et sélectionnez Activé.
Sélectionnez Enregistreret lorsque la fenêtre Activer l’identité managée affectée par le système s’affiche, sélectionnez Oui.
Sous l’étiquette Autorisations, sélectionnez Attributions de rôles Azure pour ouvrir la fenêtre d’attributions de rôles.
Sélectionnez Ajouter une attribution de rôle et entrez les valeurs suivantes :
Propriété Valeur Étendue Sélectionnez Key Vault. Abonnement Sélectionnez votre abonnement Azure. Ressource Sélectionnez votre coffre. Rôle Sélectionnez : Utilisateur des secrets Key Vault. Cliquez sur Enregistrer.
Pour plus d’informations sur le contrôle d’accès en fonction du rôle (RBAC) et les stratégies d’accès héritées, consultez Contrôle d’accès en fonction du rôle Azure (Azure RBAC) et stratégies d’accès.
Importer un certificat à partir de Key Vault
Ouvrez le Portail Azure et accédez à votre environnement Azure Container Apps.
Dans Paramètres, sélectionnez Certificats.
Sélectionnez l’onglet Apportez vos propres certificats (.pfx).
Sélectionnez Ajouter un certificat.
Dans le panneau Ajouter un certificat, dans Source, sélectionnez Importer à partir de Key Vault.
Sélectionnez Sélectionner un certificat de coffre de clés et sélectionnez les valeurs suivantes :
Propriété Valeur Abonnement Sélectionnez votre abonnement Azure. Key vault Sélectionnez votre coffre. Certificat Sélectionnez votre certificat. Remarque
Si une erreur s’affiche, « L’opération « Lister » n’est pas activée dans la stratégie d’accès de ce coffre de clés. », vous devez configurer une stratégie d’accès dans votre Key Vault pour autoriser votre compte d’utilisateur à répertorier les certificats. Pour plus d’informations, consultez Attribuer une stratégie d’accès Key Vault.
Sélectionnez Sélectionner.
Dans le panneau Ajouter un certificat, dans Identité managée, sélectionnez Attribué par le système. Si vous utilisez une identité managée affectée par l’utilisateur, sélectionnez la vôtre.
Sélectionnez Ajouter.
Remarque
Si vous recevez un message d’erreur, vérifiez que l’identité managée est affectée au rôle Utilisateur des secrets Key Vault sur le Key Vault.
Configuration d’un domaine personnalisé
Après avoir configuré votre certificat, vous pouvez l’utiliser pour sécuriser votre domaine personnalisé. Suivez les étapes décrites dans Ajouter un domaine personnalisé et sélectionnez le certificat que vous avez importé à partir de Key Vault.
Effectuer une rotation des certificats
Lorsque vous faites pivoter votre certificat dans Key Vault, Azure Container Apps met automatiquement à jour le certificat dans votre environnement. L’application du nouveau certificat prend jusqu’à 12 heures.