Omówienie certyfikatów usług Azure Cloud Services (klasycznych)
Ważne
Usługi Cloud Services (wersja klasyczna) są teraz przestarzałe dla wszystkich klientów od 1 września 2024 r. Wszystkie istniejące uruchomione wdrożenia zostaną zatrzymane i zamknięte przez firmę Microsoft, a dane zostaną przypadkowo utracone od października 2024 r. Nowe wdrożenia powinny używać nowego modelu wdrażania opartego na usłudze Azure Resource Manager w usługach Azure Cloud Services (wsparcie dodatkowe).
Certyfikaty są używane na platformie Azure na potrzeby usług w chmurze (certyfikaty usług) i uwierzytelniania za pomocą interfejsu API zarządzania (certyfikaty zarządzania). Ten artykuł zawiera ogólne omówienie obu typów certyfikatów, sposobu ich tworzenia i wdrażania na platformie Azure.
Certyfikaty używane na platformie Azure to certyfikaty x.509 w wersji 3. Mogą podpisywać się samodzielnie lub inny zaufany certyfikat może je podpisać. Certyfikat jest podpisem własnym, gdy jego twórca podpisze go. Certyfikaty z podpisem własnym nie są domyślnie zaufane, ale większość przeglądarek może zignorować ten problem. Podczas opracowywania i testowania usług w chmurze należy używać tylko certyfikatów z podpisem własnym.
Certyfikaty używane przez platformę Azure mogą zawierać klucz publiczny. Certyfikaty mają odcisk palca, który umożliwia identyfikację ich w sposób jednoznaczny. Ten odcisk palca jest używany w pliku konfiguracji platformy Azure do identyfikowania certyfikatu, który powinien być używany przez usługę w chmurze.
Uwaga
Usługi Azure Cloud Services nie akceptują zaszyfrowanego certyfikatu AES256-SHA256.
Co to są certyfikaty usługi?
Certyfikaty usługi są dołączone do usług w chmurze i umożliwiają bezpieczną obustronną komunikację z usługą. Jeśli na przykład wdrożono rolę internetową, należy podać certyfikat, który może uwierzytelnić uwidoczniony punkt końcowy HTTPS. Certyfikaty usługi zdefiniowane w definicji usługi są automatycznie wdrażane na maszynie wirtualnej z uruchomionym wystąpieniem roli.
Certyfikat usługi można przekazać na platformę Azure przy użyciu witryny Azure Portal lub klasycznego modelu wdrażania. Certyfikaty usługi są skojarzone z konkretną usługą w chmurze. Plik definicji usługi przypisuje je do wdrożenia.
Certyfikaty usług można zarządzać oddzielnie od usług, a różne osoby mogą nimi zarządzać. Na przykład deweloper może przekazać pakiet usługi, który odwołuje się do certyfikatu przekazanego wcześniej przez menedżera IT na platformę Azure. Menedżer IT może zarządzać tym certyfikatem i odnawiać go (zmieniając konfigurację usługi) bez konieczności przekazywania nowego pakietu usługi. Aktualizowanie bez nowego pakietu usługi jest możliwe, ponieważ nazwa logiczna, nazwa magazynu i lokalizacja certyfikatu znajduje się w pliku definicji usługi, a odcisk palca certyfikatu jest określony w pliku konfiguracji usługi. Aby zaktualizować certyfikat, należy tylko przekazać nowy certyfikat i zmienić wartość odcisku palca w pliku konfiguracji usługi.
Uwaga
Artykuł Cloud Services FAQ — Configuration and Management (Często zadawane pytania dotyczące usług Cloud Services — konfiguracja i zarządzanie) zawiera przydatne informacje o certyfikatach.
Co to są certyfikaty zarządzania?
Certyfikaty zarządzania umożliwiają uwierzytelnianie przy użyciu klasycznego modelu wdrażania. Wiele programów i narzędzi (takich jak program Visual Studio lub zestaw Azure SDK) używa tych certyfikatów do zautomatyzowania konfigurowania i wdrażania różnych usług platformy Azure. Te certyfikaty nie są związane z usługami w chmurze.
Ostrzeżenie
Ostrożnie! Te typy certyfikatów umożliwiają każdemu, kto uwierzytelnia się za ich pomocą, aby zarządzać subskrypcją, z którą są skojarzone.
Ograniczenia
Istnieje limit 100 certyfikatów zarządzania na subskrypcję. Istnieje również limit 100 certyfikatów zarządzania dla wszystkich subskrypcji w ramach identyfikatora użytkownika określonego administratora usługi. Jeśli identyfikator użytkownika administratora konta był już używany do dodawania 100 certyfikatów zarządzania i istnieje potrzeba większej liczby certyfikatów, możesz dodać współadministratora, aby dodać więcej certyfikatów.
Ponadto certyfikaty zarządzania nie mogą być używane z subskrypcjami Dostawca rozwiązań w chmurze (CSP), ponieważ subskrypcje CSP obsługują tylko model wdrażania usługi Azure Resource Manager i certyfikaty zarządzania używają klasycznego modelu wdrażania. Zapoznaj się z usługą Azure Resource Manager a klasycznym modelem wdrażania i opisem uwierzytelniania za pomocą zestawu Azure SDK dla platformy .NET , aby uzyskać więcej informacji na temat opcji subskrypcji programu CSP.
Tworzenie nowego certyfikatu z podpisem własnym
Możesz użyć dowolnego narzędzia dostępnego do utworzenia certyfikatu z podpisem własnym, o ile są one zgodne z następującymi ustawieniami:
Certyfikat X.509.
Zawiera klucz publiczny.
Utworzono dla wymiany kluczy (plik pfx).
Nazwa podmiotu musi być zgodna z domeną używaną do uzyskiwania dostępu do usługi w chmurze.
Nie można uzyskać certyfikatu TLS/SSL dla cloudapp.net (lub dla dowolnej domeny powiązanej z platformą Azure); nazwa podmiotu certyfikatu musi być zgodna z niestandardową nazwą domeny używaną do uzyskiwania dostępu do aplikacji. Na przykład contoso.net, a nie contoso.cloudapp.net.
Co najmniej 2048-bitowe szyfrowanie.
Tylko certyfikat usługi: certyfikat po stronie klienta musi znajdować się w osobistym magazynie certyfikatów.
Istnieją dwa proste sposoby tworzenia certyfikatu w systemie Windows za pomocą makecert.exe
narzędzia lub usług IIS.
Makecert.exe
To narzędzie zostało wycofane i nie zostało już udokumentowane tutaj. Aby uzyskać więcej informacji, zobacz ten artykuł w witrynie Microsoft Developer Network (MSDN).
PowerShell
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Uwaga
Jeśli chcesz użyć certyfikatu z adresem IP zamiast domeny, użyj adresu IP w parametrze -DnsName.
Jeśli chcesz użyć tego certyfikatu z portalem zarządzania, wyeksportuj go do pliku .cer :
Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer
Internet Information Services (IIS)
Istnieje wiele stron w Internecie, które obejmują sposób tworzenia certyfikatów za pomocą usług IIS, takich jak Kiedy używać certyfikatu z podpisem własnym usług IIS.
Linux
Szybkie kroki: Tworzenie i używanie pary kluczy publicznych-prywatnych SSH dla maszyn wirtualnych z systemem Linux na platformie Azure opisuje sposób tworzenia certyfikatów za pomocą protokołu SSH.
Następne kroki
Przekaż certyfikat usługi do witryny Azure Portal.
Przekaż certyfikat interfejsu API zarządzania do witryny Azure Portal.