HTTPS-communicatie inschakelen in Azure Cloud Services (uitgebreide ondersteuning)

Communicatie met Microsoft Azure Cloud Services (uitgebreide ondersteuning) wordt uitgevoerd met behulp van het Https-protocol (Hypertext Transfer Protocol Secure). In dit artikel wordt beschreven hoe u HTTPS-communicatie inschakelt voor Cloud Services (uitgebreide ondersteuning).

Voorwaarden

• Visual Studio.

• Een Azure Cloud Services-project (uitgebreide ondersteuning) in Visual Studio.

• Een SSL-certificaat (Secure Sockets Layer) in de bestandsindeling Personal Information Exchange (.pfx). Als u nog geen SSL-certificaat hebt toegewezen door ca, gebruikt u een PowerShell-script om zelf een certificaat toe te wijzen voor testgebruik.

• Een Azure Key Vault-resource die zich binnen dezelfde resourcegroep bevindt als uw Azure Cloud Services-resource (uitgebreide ondersteuning). Als u er nog geen hebt, kunt u een sleutelkluisresource maken met behulp van Azure Portal.

Algemene stappen voor projectimplementatie

De algemene stappen voor het implementeren van een Cloud Services-project (uitgebreide ondersteuning) in Azure zijn als volgt:

1. Bereid uw certificaat voor.

2. Configureer uw project.

3. Pakket het projectbestand in de servicedefinitiebestanden (.csdef), serviceconfiguratiebestanden (.cscfg) en servicepakketbestanden (.cspkg) van uw cloudservice.

4. Wijzig indien nodig de configuratie van de cloudservicesresource (uitgebreide ondersteuning). U kunt bijvoorbeeld een van de volgende wijzigingen aanbrengen:

   1. Werk de pakket-URL bij.
   2. Configureer de URL-instelling.
   3. Werk de instelling voor geheimen van het besturingssysteem bij.

5. Implementeer en werk het nieuwe project bij in Azure.

Notitie

Het project kan worden geïmplementeerd via verschillende methoden, zoals met behulp van de volgende hulpprogramma's:

• Visual Studio
• Een Azure Resource Manager-sjabloon (ARM-sjabloon)
• Een hulpprogramma voor continue integratie en continue levering (CI/CD), zoals Azure DevOps

Ongeacht de implementatiemethode zijn de algemene implementatiestappen hetzelfde.

De eerste twee van deze stappen zijn nodig voor alle implementatiemethoden. Deze stappen worden besproken in de sectie Codewijzigingen . De resterende stappen zijn ook belangrijk, maar vereisen niet altijd handmatige tussenkomst van de gebruiker. De stappen kunnen bijvoorbeeld automatisch worden uitgevoerd door een hulpprogramma zoals Visual Studio. De laatste drie van deze stappen worden besproken in de sectie Configuratiewijzigingen .

Codewijzigingen

Voer de volgende stappen uit om de codewijzigingen aan te brengen om uw certificaat voor te bereiden en uw project te configureren:

1. Volg de instructies voor het uploaden van een certificaat naar de sleutelkluis via stap 6.

2. Noteer de vingerafdruk van het certificaat (een hexadecimale tekenreeks van 40 cijfers).

3. Voeg in het serviceconfiguratiebestand (.cscfg) van uw project de vingerafdruk van het certificaat toe aan de rol waarin u het certificaat wilt gebruiken. Als u bijvoorbeeld het certificaat als SSL-certificaat wilt gebruiken om te communiceren met een WebRole, kunt u XML-code toevoegen die lijkt op het volgende fragment als WebRole1 het eerste onderliggende element van het hoofdelement ServiceConfiguration :

   <Role name="WebRole1">
     <Instances count="1" />
     <Certificates>
       <Certificate
         name="Certificate1"
         thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
         thumbprintAlgorithm="sha1"
       />
     </Certificates>
   </Role>
   

   U kunt de naam van het certificaat aanpassen, maar moet overeenkomen met de certificaatnaam die wordt gebruikt in het bestand met de servicedefinitie (.csdef).

4. Voeg in het bestand met de servicedefinitie (.csdef) de volgende elementen toe.

   Bovenliggend XPath	Elementen die moeten worden toegevoegd	Kenmerken die moeten worden gebruikt
   /ServiceDefinition/WebRole/Sites/Site/Bindings	Binding	name, endpointName
   /ServiceDefinition/WebRole/Endpoints	InputEndpoint	naam, protocol, poort, certificaat
   /ServiceDefinition/WebRole	Certificates/Certificate	name, storeLocation, storeName, permissionLevel

   Het Certificates element moet direct na de afsluitende Endpoints tag worden toegevoegd. Het bevat geen kenmerken. Het bevat alleen onderliggende Certificate elementen.

   Uw servicedefinitiebestand kan bijvoorbeeld lijken op de volgende XML-code:

   <?xml version="1.0" encoding="utf-8"?>
   <ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
     <WebRole name="WebRole1" vmsize="Standard_D1_v2">
       <Sites>
         <Site name="Web">
           <Bindings>
             <Binding name="Endpoint1" endpointName="Endpoint1" />
             <Binding name="HttpsIn" endpointName="HttpsIn" />
           </Bindings>
         </Site>
       </Sites>
       <Endpoints>
         <InputEndpoint name="Endpoint1" protocol="http" port="80" />
         <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
       </Endpoints>
       <Certificates>
         <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
       </Certificates>
     </WebRole>
   </ServiceDefinition>
   

   In dit voorbeeld wordt het servicedefinitiebestand gewijzigd om een invoereindpunt HttpsIn voor het HTTPS-protocol te binden op poort 443. Het gebruikt het Certificate1 certificaat voor een archief met een naam en My een locatie voor LocalMachine slechts een beperkt of verhoogd machtigingsniveau. De certificaatnamen in de InputEndpoint en Certificate elementen komen overeen met elkaar. Ze komen ook overeen met de certificaatnaam die is gebruikt in het serviceconfiguratiebestand (.cscfg) uit de vorige stap.

Configuratiewijzigingen

Instructies voor het wijzigen van uw cloudserviceconfiguratie verschillen afhankelijk van de wijze waarop uw cloudservice is geïmplementeerd. Deze instructies worden weergegeven op de volgende tabbladen. Elk tabblad vertegenwoordigt een andere implementatiemethode.

Portal

Zie Een Azure Cloud Services (uitgebreide ondersteuning) implementeren met behulp van Azure Portal voordat u verdergaat. Volg vervolgens deze stappen om de juiste configuratiewijzigingen aan te brengen via Azure Portal:

1. Ga naar het blogbericht met de titel Handmatige migratie van klassieke cloudservice naar uitgebreide ondersteuning voor cloudservices met ARM-sjabloon en volg stap 7 tot en met 9. Deze instructies laten zien hoe u de volgende stappen kunt uitvoeren:

   • Pak het project in.

   • Upload het gegenereerde servicepakket (<project-name.cspkg>) en cloudserviceconfiguratiebestanden (ServiceConfiguration.Cloud.cscfg) naar een opslagaccountcontainer voor uw cloudservice.

     Notitie

     U moet ook het servicedefinitiebestand (ServiceDefinition.csdef) uploaden met behulp van hetzelfde proces dat wordt beschreven voor de andere twee bestanden.

   • Genereer een SAS-URL (Shared Access Signature) voor elk van de geüploade bestanden.

2. Ga in Azure Portal terug naar de pagina Overzicht van uw cloudservice en selecteer Vervolgens Bijwerken.

3. Breng op de pagina Cloudservice bijwerken de volgende wijzigingen aan op het tabblad Basisbeginselen :

   1. Selecteer in het veld Locatie van pakket/configuratie/servicedefinitie de optie Uit blob.

   2. Voer in het veld Een pakket uploaden (.cspkg, .zip) de volgende stappen uit:

      1. Selecteer de koppeling Bladeren .
      2. Selecteer het opslagaccount en de container waarnaar u bestanden hebt geüpload.
      3. Selecteer op de containerpagina het bijbehorende bestand (in dit geval project-name.cspkg>) en selecteer vervolgens de knop Selecteren.<

   3. Voor het veld Een configuratie (.cscfg) uploaden (en ServiceConfiguration.Cloud.cscfg-bestand ), herhaalt u de subprocedure die in de vorige stap is beschreven.

   4. Herhaal de subprocedure voor het veld Upload a service definition (.csdef) (en het bestand ServiceDefinition.csdef ).

4. Selecteer het tabblad Configuration (Configuratie).

5. Selecteer in het veld Sleutelkluis de sleutelkluis waarin u het certificaat hebt geüpload (eerder in de sectie Codewijzigingen ). Nadat het certificaat is gevonden in de geselecteerde sleutelkluis, wordt in het vermelde certificaat de status Gevonden weergegeven.

6. Als u het zojuist geconfigureerde project wilt implementeren, selecteert u de knop Bijwerken .

Powershell

Zie Een cloudservice implementeren (uitgebreide ondersteuning) met behulp van Azure PowerShell voordat u verdergaat. Volg vervolgens deze stappen om de configuratiewijzigingen aan te brengen via een PowerShell-script:

1. Ga naar het blogbericht met de titel Handmatige migratie van klassieke cloudservice naar uitgebreide ondersteuning voor cloudservices met ARM-sjabloon en volg stap 7 tot en met 9. Deze instructies laten zien hoe u de volgende stappen kunt uitvoeren:

   • Pak het project in.

   • Upload het gegenereerde servicepakketbestand (<project-name.cspkg>) naar een opslagaccountcontainer voor uw cloudservice.

     Notitie

     Ondanks wat in de instructies wordt vermeld, hoeft u het bestand met de cloudserviceconfiguratie (ServiceConfiguration.Cloud.cscfg) niet te uploaden. Alleen het servicepakketbestand moet hier worden geüpload.

   • Genereer een SAS-URL (Shared Access Signature) voor het geüploade servicepakketbestand.

2. Meld u aan bij Azure door de cmdlet Connect-AzAccount uit te voeren.

3. Vervang in het volgende PowerShell-script de tijdelijke aanduidingen aan het begin van het script door de werkelijke waarden voor elke variabele en voer vervolgens het script uit om uw cloudservice bij te werken:

   # Enter values for placeholders in the following variables.
   $vaultName = "<key-vault-resource-name>"
   $resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
   $certificateName = "<name-of-certificate-saved-in-key-vault>"
   $cloudService = @{
       Name = "<name-of-cloud-service>"
       ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
       SubscriptionId = "<subscription-guid>"
   }
   $cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
   $cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"
   
   # Code execution
   $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
   $certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
   $vaultSecretGroupObject = @{
       CertificateUrl = $certificate.SecretId
       Id = $keyVault.ResourceId
   }
   $secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
   $osProfile = @{secret = @($secretGroup)}
   
   $cses = Get-AzCloudService @cloudService
   $cses.Configuration = Get-Content $cscfgFilePath | Out-String
   $cses.PackageUrl = $cspkgUrl
   $cses.OSProfile = $osProfile
   $cses | Update-AzCloudService
   

Resource Manager-sjabloon

Zie Een cloudservice (uitgebreide ondersteuning) implementeren met ARM-sjablonen voordat u verdergaat. Volg vervolgens deze stappen om uw ARM-sjabloon te configureren:

1. Ga naar het blogbericht met de titel Handmatige migratie van klassieke cloudservice naar uitgebreide ondersteuning voor cloudservices met ARM-sjabloon en volg stap 7 tot en met 10. Deze instructies laten zien hoe u de volgende stappen kunt uitvoeren:

   • Pak het project in.

   • Upload het gegenereerde servicepakket (<project-name.cspkg>) en cloudserviceconfiguratiebestanden (ServiceConfiguration.Cloud.cscfg) naar een opslagaccountcontainer voor uw cloudservice.

   • Genereer een SAS-URL (Shared Access Signature) voor elk van de geüploade bestanden.

   • Haal de volgende waarden op van de sleutelkluiscertificaatpagina in Azure Portal:

     • Sleutelkluiscertificaat-URL
     • Abonnements-id
     • Naam van de resourcegroep waarin de sleutelkluis is geïmplementeerd
     • Servicenaam voor de sleutelkluis

   Zoek de osProfile eigenschap in uw oorspronkelijke ARM-sjabloon voor de cloudservice. Als het oorspronkelijke cloudserviceproject alleen HTTP-communicatie ondersteunt, is de osProfile eigenschap leeg ("osProfile": {}). Als u wilt dat de cloudservice het juiste certificaat ophaalt uit de juiste sleutelkluis, geeft u op welke sleutelkluis u wilt gebruiken in de ARM-sjabloon. U kunt een parameter gebruiken om deze waarde weer te geven. U kunt de waarde ook in de ARM-sjabloon coderen, zoals wordt weergegeven in het volgende voorbeeld:

   "osProfile": {
     "secrets": [
       {
         "sourceVault": {
           "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
         },
         "vaultCertificates": [
           {
             "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
           }
         ]
       }
     ]
   }
   

   In de JSON-tekst van de ARM-sjabloon maakt de id waarde in de sourceVault parameter deel uit van de URL van de key vault-pagina in Azure Portal. De certificateUrl waarde is de sleutelkluiscertificaat-URL die u eerder hebt gevonden. De tekstindelingen voor deze waarden worden weergegeven in de volgende tabel.

   Parameter	Format
   Bronkluis-id	/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
   Sleutelkluiscertificaat-URL	https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>

2. Implementeer uw bijgewerkte ARM-sjabloon met nieuwe parameters, zoals het PAKKET-SAS-token, het SAS-configuratietoken en meer. Als u wilt zien hoe u deze parameters declareert en opgeeft, kunt u een voorbeeld van een ARM-sjabloonbestand en een voorbeeld van een ARM-sjabloonparametersbestand bekijken. Wacht vervolgens tot de implementatie is voltooid.

Notitie

Als er een foutbericht wordt weergegeven dat het openbare IP-adres wordt gebruikt, verwijdert u het openbare IP-adres uit het serviceconfiguratiebestand (.cscfg) en het parameterbestand van de ARM-sjabloon. Verwijder de declaratie van het openbare IP-adres niet uit het ARM-sjabloonbestand zelf.

C#

Zie Cloud Services implementeren (uitgebreide ondersteuning) met behulp van de Azure SDK voordat u verdergaat.

Notitie

Deze sectie bevat code die wordt herschreven uit de officiële SDK-voorbeeldcode die u kunt vinden op de gitHub-voorbeeldcodepagina voor Azure Cloud Services (uitgebreide ondersteuning).

In deze sectie wordt beschreven hoe u de Azure SDK en C# gebruikt om de juiste configuratiewijzigingen aan te brengen. Als u de SDK wilt gebruiken om het cloudserviceproject te implementeren en de gerelateerde configuratie te wijzigen, moet u een toepassing registreren in Microsoft Entra-id. Als u de registratie wilt uitvoeren, raadpleegt u de portal gebruiken om een Microsoft Entra-toepassing en service-principal te maken die toegang hebben tot het artikel over resources . De volgende tabel bevat een overzicht van de specifieke stappen die moeten worden uitgevoerd en de bijbehorende subsectie die in dat artikel moet worden gelezen.

Stap	Koppeling naar subsectie
Uw abonnement toewijzen aan de rol van eigenaar voor uw toepassing	Een rol toewijzen aan de toepassing
De tenant-id en de toepassings-id kopiëren	Tenant- en app-id-waarden ophalen voor aanmelden
Een nieuw toepassingsgeheim maken en kopiëren	Optie 2: Een nieuw toepassingsgeheim maken
Configureer het toegangsbeleid voor de sleutelkluis en geef toestemming aan uw toepassing (van ten minste leesniveau) om toegang te krijgen tot het certificaat	Toegangsbeleid voor resources configureren

Volg deze stappen om de juiste configuratiewijzigingen aan te brengen:

1. Ga naar het blogbericht met de titel Handmatige migratie van klassieke cloudservice naar uitgebreide ondersteuning voor cloudservices met ARM-sjabloon en volg stap 7 tot en met 10. Deze instructies laten zien hoe u de volgende stappen kunt uitvoeren:

   • Pak het project in.

   • Upload het gegenereerde servicepakketbestand (<project-name.cspkg>) naar een opslagaccountcontainer voor uw cloudservice.

     Notitie

     Ondanks wat in de instructies wordt vermeld, hoeft u het bestand met de cloudserviceconfiguratie (ServiceConfiguration.Cloud.cscfg) niet te uploaden. Alleen het servicepakketbestand moet hier worden geüpload.

   • Genereer een SAS-URL (Shared Access Signature) voor het geüploade servicepakketbestand.

   • Haal de volgende waarden op van de sleutelkluiscertificaatpagina in Azure Portal:

     • Sleutelkluiscertificaat-URL
     • Abonnements-id
     • Naam van de resourcegroep waarin de sleutelkluis is geïmplementeerd
     • Servicenaam voor de sleutelkluis

2. Download het voorbeeldproject (een gecomprimeerd archiefbestand) en pak de inhoud ervan uit.

3. Open het bestand SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs in een teksteditor. Overschrijf in de InitializeServiceClient methode respectievelijk de waarden van de tenantId, clientIden clientCredentials tekenreeksvariabelen met de waarden voor de tenant-id, de toepassings-id en het toepassingsgeheim. Deze waarden zijn de waarden die u hebt gekopieerd toen u uw toepassing registreerde.

4. Open het bestand SDKSample\CreateCloudService\CreateCloudService\Program.cs in een teksteditor. In de Main methode overschrijft u enkele geïnitialiseerde waarden van de variabelen die aan het begin van de methode zijn gedeclareerd. In de volgende tabel ziet u de namen van variabelen en de waarden die u hiervoor moet gebruiken.

   Variabelenaam	Nieuwe waarde
   m_subId	De id van het abonnement dat de cloudservice bevat
   csrgName	De naam van de resourcegroep die de cloudservice bevat
   csName	De naam van de cloudserviceresource
   kvrgName	De naam van de resourcegroep die de sleutelkluisresource bevat
   kvName	De naam van de sleutelkluisresource
   kvsubid	De id van het abonnement dat de sleutelkluis bevat (dit kan verschillen van de abonnements-id van de cloudservice)
   secretidentifier	De URL van het sleutelkluiscertificaat
   filename	Het lokale pad naar uw serviceconfiguratiebestand (ServiceConfiguration.Cloud.cscfg)
   packageurl	De SAS-URL voor het servicepakketbestand (project-name.cspkg>)<

5. Klik in het deelvenster Visual Studio Solution Explorer met de rechtermuisknop op het projectknooppunt en selecteer NuGet-pakketten beheren. Zoek, selecteer en installeer de volgende pakketten op het tabblad Bladeren :

   • Microsoft.Azure.Management.ResourceManager
   • Microsoft.Azure.Management.Compute
   • Microsoft.Azure.Management.Storage
   • Azure.Identity
   • Microsoft.Rest.ClientRuntime.Azure.Authentication

6. Voer het project uit en wacht tot berichten worden weergegeven in het deelvenster Uitvoer . Als in het deelvenster 'afsluiten met code 0' wordt weergegeven, werkt de update en implementatie goed. Als 'afsluiten met code 1' wordt weergegeven, moet u mogelijk controleren op foutberichten om eventuele problemen te controleren.

Visual Studio

Voordat u verdergaat, raadpleegt u Maken en implementeren in Cloud Services (uitgebreide ondersteuning) in Visual Studio.

In Visual Studio moet u twee configuratiewijzigingen aanbrengen. U stelt uw serviceconfiguratie zo in dat de lokale context is afgestemd op de cloudcontext en vervolgens geeft u op waar uw sleutelkluis zich bevindt.

Kopieer voor de serviceconfiguratie de inhoud van de cloudcontext (het bestand ServiceConfiguration.Cloud.cscfg ) en plak deze in de lokale context (het bestand ServiceConfiguration.Local.cscfg ). Hebt u een andere configuratie of hebt u het lokale configuratiebestand nog nodig voor ander gebruik? Als een van beide voorwaarden waar is, moet u de certificate elementen uit de bestaande lokale context behouden.

Klik in het deelvenster Visual Studio Solution Explorer met de rechtermuisknop op het projectknooppunt en selecteer Publiceren. Ga door de wizard Publiceren Azure-toepassing totdat u bij het tabblad Instellingen bent. Stel op dat tabblad het sleutelkluisveld in op de locatie waar uw sleutelkluis wordt opgeslagen. Selecteer tot slot de knop Publiceren en wacht totdat de implementatie is voltooid.

Nadat u de configuratiewijzigingen hebt aangebracht, kunnen klanten communiceren met uw cloudserviceswebsite met behulp van het HTTPS-protocol. Als uw certificaat zelfondertekend is, kan de browser een waarschuwing melden dat het certificaat niet beveiligd is, maar de browser de verbinding niet blokkeert.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.