Certificaten importeren uit Azure Key Vault naar Azure Container Apps
U kunt Azure Key Vault instellen om de TLS/SSL-certificaten van uw container-app centraal te beheren en updates, vernieuwingen en bewaking af te handelen.
Vereisten
Er is een Azure Key Vault-resource vereist om uw certificaat op te slaan. Zie Een certificaat importeren in Azure Key Vault of automatische rotatie van certificaten configureren in Key Vault om een Key Vault te maken en een certificaat toe te voegen.
Uitzonderingen
Hoewel het merendeel van de certificaattypen wordt ondersteund, zijn er enkele uitzonderingen om rekening mee te houden.
- ECDSA p384- en p521-certificaten worden niet ondersteund.
- Als gevolg van hoe App Services-certificaten worden opgeslagen in Key Vault, kunnen ze niet worden geïmporteerd met behulp van Azure Portal en vereisen de Azure CLI.
Beheerde identiteit inschakelen voor Container Apps-omgeving
Azure Container Apps maakt gebruik van een beheerde identiteit op omgevingsniveau voor toegang tot uw Key Vault en het importeren van uw certificaat. Voer de volgende stappen uit om door het systeem toegewezen beheerde identiteit in te schakelen:
Open Azure Portal en zoek uw Azure Container Apps-omgeving waar u een certificaat wilt importeren.
Selecteer Identiteit in Instellingen.
Zoek op het tabblad Door systeem toegewezen de statusschakelaar en selecteer Aan.
Selecteer Opslaan en wanneer het venster Door het systeem toegewezen beheerde identiteit inschakelen wordt weergegeven, selecteert u Ja.
Selecteer onder het label Machtigingen azure-roltoewijzingen om het venster roltoewijzingen te openen.
Selecteer Roltoewijzing toevoegen en voer de volgende waarden in:
Eigenschappen Weergegeven als Bereik Selecteer Key Vault. Abonnement Selecteer uw Azure-abonnement. Bron Selecteer uw kluis. Role Selecteer Key Vault Secrets User. Selecteer Opslaan.
Zie Op rollen gebaseerd toegangsbeheer (Azure RBAC) versus toegangsbeleid van Azure voor meer informatie over RBAC versus toegangsbeleid.
Certificaat importeren uit Key Vault
Open Azure Portal en ga naar uw Azure Container Apps-omgeving.
Selecteer Certificaten in Instellingen.
Selecteer het tabblad Bring Your Own Certificates (.pfx).
Selecteer Certificaat toevoegen.
Selecteer importeren uit Key Vault in het deelvenster Certificaat toevoegen in bron.
Selecteer Sleutelkluiscertificaat selecteren en selecteer de volgende waarden:
Eigenschappen Weergegeven als Abonnement Selecteer uw Azure-abonnement. Sleutelkluis Selecteer uw kluis. Certificaat Selecteer uw certificaat. Notitie
Als er een foutbericht wordt weergegeven: 'De bewerking 'Lijst' is niet ingeschakeld in het toegangsbeleid van deze sleutelkluis', moet u een toegangsbeleid configureren in uw Key Vault om uw gebruikersaccount toe te staan certificaten weer te geven. Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.
Selecteer Selecteren.
Selecteer in het deelvenster Certificaat toevoegen in beheerde identiteit de optie Systeem toegewezen. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, selecteert u uw door de gebruiker toegewezen beheerde identiteit.
Selecteer Toevoegen.
Notitie
Als u een foutbericht ontvangt, controleert u of aan de beheerde identiteit de rol Key Vault Secrets User is toegewezen in de Key Vault.
Een aangepast domein configureren
Nadat u uw certificaat hebt geconfigureerd, kunt u dit gebruiken om uw aangepaste domein te beveiligen. Volg de stappen in Een aangepast domein toevoegen en selecteer het certificaat dat u hebt geïmporteerd uit Key Vault.
Certificaten roteren
Wanneer u uw certificaat roteert in Key Vault, werkt Azure Container Apps het certificaat automatisch bij in uw omgeving. Het duurt maximaal 12 uur voordat het nieuwe certificaat is toegepast.