Certyfikaty i środowisko App Service Environment

Uwaga

Ten artykuł dotyczy środowiska App Service Environment w wersji 3, który jest używany z planami izolowanej usługi App Service w wersji 2

Środowisko App Service Environment to wdrożenie usługi aplikacja systemu Azure, która działa w ramach sieci wirtualnej platformy Azure. Można go wdrożyć za pomocą internetowego punktu końcowego aplikacji lub punktu końcowego aplikacji, który znajduje się w sieci wirtualnej. Jeśli wdrożysz środowisko App Service Environment z dostępnym przez Internet punktem końcowym, wdrożenie to jest nazywane zewnętrznym środowiskiem App Service Environment. Jeśli wdrożysz środowisko App Service Environment z punktem końcowym w sieci wirtualnej, wdrożenie to jest nazywane środowiskiem App Service Environment wewnętrznym modułem równoważenia obciążenia. Więcej informacji na temat środowiska App Service Environment wewnętrznym modułu równoważenia obciążenia można uzyskać w dokumencie Tworzenie i używanie środowiska App Service Environment z wewnętrznym modułem równoważenia obciążenia.

Certyfikaty aplikacji

Aplikacje hostowane w środowisku App Service Environment obsługują następujące funkcje certyfikatów skoncentrowanych na aplikacji, które są również dostępne w wielodostępnej usłudze App Service. Aby uzyskać wymagania i instrukcje dotyczące przekazywania tych certyfikatów i zarządzania nimi, zobacz Dodawanie certyfikatu TLS/SSL w usłudze aplikacja systemu Azure.

• Certyfikaty SNI
• Certyfikaty hostowane w usłudze KeyVault

Po dodaniu certyfikatu do aplikacji usługi App Service lub aplikacji funkcji możesz zabezpieczyć niestandardową nazwę domeny za pomocą niego lub użyć jej w kodzie aplikacji.

Ograniczenia

Certyfikaty zarządzane usługi App Service nie są obsługiwane w aplikacjach hostowanych w środowisku App Service Environment.

Ustawienia protokołu TLS

Ustawienie PROTOKOŁU TLS można skonfigurować na poziomie aplikacji.

Certyfikat klienta prywatnego

Typowym przypadkiem użycia jest skonfigurowanie aplikacji jako klienta w modelu klient-serwer. W przypadku zabezpieczenia serwera przy użyciu certyfikatu prywatnego urzędu certyfikacji należy przekazać certyfikat klienta (.cer pliku) do aplikacji. Poniższe instrukcje ładują certyfikaty do magazynu zaufania procesów roboczych, na których działa aplikacja. Certyfikat należy przekazać tylko raz, aby używać go z aplikacjami, które znajdują się w tym samym planie usługi App Service.

Uwaga

Certyfikaty klienta prywatnego są obsługiwane tylko z kodu niestandardowego w aplikacjach kodu systemu Windows. Certyfikaty klienta prywatnego nie są obsługiwane poza aplikacją. Ogranicza to użycie w scenariuszach, takich jak ściąganie obrazu kontenera aplikacji z rejestru przy użyciu certyfikatu prywatnego i weryfikowanie protokołu TLS przez serwery frontonu przy użyciu certyfikatu prywatnego.

Wykonaj następujące kroki, aby przekazać certyfikat (plik .cer ) do aplikacji w środowisku App Service Environment. Plik .cer można wyeksportować z certyfikatu. Na potrzeby testowania na końcu znajduje się przykład programu PowerShell, który umożliwia wygenerowanie tymczasowego certyfikatu z podpisem własnym:

1. Przejdź do aplikacji, która wymaga certyfikatu w witrynie Azure Portal

2. Przejdź do pozycji Certyfikaty w aplikacji. Wybierz pozycję Certyfikat klucza publicznego (.cer). Wybierz pozycję Dodaj certyfikat. Podaj nazwę. Przeglądaj i wybierz plik .cer . Wybierz pozycję Przekaż.

3. Skopiuj odcisk palca.

4. Przejdź do pozycji Ustawienia aplikacji konfiguracji>. Utwórz ustawienie aplikacji WEBSITE_LOAD_ROOT_CERTIFICATES z odciskiem palca jako wartością. Jeśli masz wiele certyfikatów, możesz umieścić je w tym samym ustawieniu oddzielonym przecinkami i bez białych znaków, takich jak

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Certyfikat jest dostępny dla wszystkich aplikacji w tym samym planie usługi App Service co aplikacja, która skonfigurowała to ustawienie, ale wszystkie aplikacje zależne od certyfikatu prywatnego urzędu certyfikacji powinny mieć ustawienie aplikacji skonfigurowane, aby uniknąć problemów z chronometrażem.

Jeśli potrzebujesz, aby aplikacja była dostępna w innym planie usługi App Service, musisz powtórzyć operację ustawienia aplikacji dla aplikacji w tym planie usługi App Service. Aby sprawdzić, czy certyfikat jest ustawiony, przejdź do konsoli Kudu i wydaj następujące polecenie w konsoli debugowania programu PowerShell:

dir Cert:\LocalMachine\Root

Aby przeprowadzić testowanie, możesz utworzyć certyfikat z podpisem własnym i wygenerować plik .cer przy użyciu następującego programu PowerShell:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certyfikat serwera prywatnego

Jeśli aplikacja działa jako serwer w modelu klient-serwer, za zwrotnym serwerem proxy lub bezpośrednio z klientem prywatnym i używasz certyfikatu prywatnego urzędu certyfikacji, musisz przekazać certyfikat serwera (plik pfx ) z pełnym łańcuchem certyfikatów do aplikacji i powiązać certyfikat z domeną niestandardową. Ponieważ infrastruktura jest przeznaczona dla środowiska App Service Environment, pełny łańcuch certyfikatów jest dodawany do magazynu zaufania serwerów. Certyfikat należy przekazać tylko raz, aby używać go z aplikacjami, które znajdują się w tym samym środowisku App Service Environment.

Uwaga

Jeśli certyfikat został przekazany przed 1. W październiku 2023 r. należy ponownie załadować i ponownie połączyć certyfikat, aby pełny łańcuch certyfikatów został dodany do serwerów.

Postępuj zgodnie z samouczkiem dotyczącym bezpiecznego domeny niestandardowej przy użyciu protokołu TLS/SSL , aby przekazać/powiązać certyfikat główny prywatnego urzędu certyfikacji z aplikacją w środowisku App Service Environment.

Następne kroki

• Informacje na temat używania certyfikatów w kodzie aplikacji