Importare certificati da Azure Key Vault in App contenitore di Azure
È possibile configurare Azure Key Vault per gestire centralmente i certificati TLS/SSL dell'app contenitore e gestire gli aggiornamenti, i rinnovi e il monitoraggio.
Prerequisiti
Per archiviare il certificato, è necessaria una risorsa di Azure Key Vault. Vedere Importare un certificato in Azure Key Vault o Configurare la rotazione automatica dei certificati in Key Vault per creare un insieme di credenziali delle chiavi e aggiungere un certificato.
Eccezioni
Anche se la maggior parte dei tipi di certificato è supportata, esistono alcune eccezioni da considerare.
- I certificati ECDSA p384 e p521 non sono supportati.
- A causa del modo in cui i certificati di Servizi app vengono salvati in Key Vault, non possono essere importati tramite il portale di Azure e richiedono l'interfaccia della riga di comando di Azure.
Abilitare l'identità gestita per l'ambiente App contenitore
App contenitore di Azure usa un'identità gestita a livello di ambiente per accedere al Key Vault e importare il certificato. Per abilitare l'identità gestita assegnata dal sistema, seguire questa procedura:
Aprire il portale di Azure e trovare l'ambiente di App contenitore di Azure in cui si vuole importare un certificato.
Da Impostazioni selezionare Identità.
Nella scheda Assegnata dal sistema trovare l'opzione Stato e selezionare Attiva.
Selezionare Salvae, quando viene visualizzata la finestra Abilita identità gestita assegnata dal sistema, selezionare Sì.
Sotto l'etichetta Autorizzazioni selezionare Assegnazioni di ruolo di Azure per aprire la finestra assegnazioni di ruolo.
Selezionare Aggiungi assegnazione di ruolo e immettere i valori seguenti:
Proprietà valore Scope Selezionare Key Vault. Abbonamento Seleziona la tua sottoscrizione di Azure. Conto risorse Selezionare l'insieme di credenziali. Ruolo Selezionare Utente segreti Key Vault. Seleziona Salva.
Per altri dettagli sui criteri di controllo degli accessi in base al ruolo e sui criteri di accesso legacy, vedere Controllo degli accessi in base al ruolo di Azure e criteri di accesso.
Importare un certificato da Key Vault
Aprire il portale di Azure e passare all'ambiente App contenitore di Azure.
In Impostazioni selezionare Certificati.
Selezionare la scheda Bring your own certificates (.pfx).
Selezionare Aggiungi certificato.
Nel pannello Aggiungi certificato, in Origine, selezionare Importa da Key Vault.
Selezionare Seleziona certificato key vault e selezionare i valori seguenti:
Proprietà valore Abbonamento Seleziona la tua sottoscrizione di Azure. Key vault Selezionare l'insieme di credenziali. Certificate Selezionare il certificato. Nota
Se viene visualizzato un errore, "L'operazione "Elenco" non è abilitata nei criteri di accesso di key vault." è necessario configurare un criterio di accesso in Key Vault per consentire all'account utente di elencare i certificati. Per ulteriori informazioni, vedere Assegnare un criterio di accesso di Key Vault.
Selezionare Seleziona.
Nel pannello Aggiungi certificato, in Identità gestita, selezionare Sistema assegnato. Se si usa un'identità gestita assegnata dall'utente, selezionare l'identità gestita assegnata dall'utente.
Seleziona Aggiungi.
Nota
Se viene visualizzato un messaggio di errore, verificare che all'identità gestita sia assegnato il ruolo Utente segreti di Key Vault in Key Vault.
Configurare un dominio personalizzato
Dopo aver configurato il certificato, è possibile usarlo per proteggere il dominio personalizzato. Seguire la procedura descritta in Aggiungere un dominio personalizzato e selezionare il certificato importato da Key Vault.
Ruotare i certificati
Quando si ruota il certificato in Key Vault, App contenitore di Azure aggiorna automaticamente il certificato nell'ambiente in uso. L'applicazione del nuovo certificato richiede fino a 12 ore.