Importowanie certyfikatów z usługi Azure Key Vault do usługi Azure Container Apps
Usługę Azure Key Vault można skonfigurować tak, aby centralnie zarządzać certyfikatami TLS/SSL aplikacji kontenera i obsługiwać aktualizacje, odnawiania i monitorowanie.
Wymagania wstępne
Do przechowywania certyfikatu jest wymagany zasób usługi Azure Key Vault. Zobacz Importowanie certyfikatu w usłudze Azure Key Vault lub Konfigurowanie automatycznego obracania certyfikatów w usłudze Key Vault w celu utworzenia usługi Key Vault i dodania certyfikatu.
Wyjątki
Chociaż większość typów certyfikatów jest obsługiwana, należy pamiętać o kilku wyjątkach.
- Certyfikaty ECDSA p384 i p521 nie są obsługiwane.
- Ze względu na sposób zapisywania certyfikatów usługi App Services w usłudze Key Vault nie można ich zaimportować przy użyciu witryny Azure Portal i wymagać interfejsu wiersza polecenia platformy Azure.
Włączanie tożsamości zarządzanej dla środowiska usługi Container Apps
Usługa Azure Container Apps używa tożsamości zarządzanej na poziomie środowiska w celu uzyskania dostępu do usługi Key Vault i zaimportowania certyfikatu. Aby włączyć tożsamość zarządzaną przypisaną przez system, wykonaj następujące kroki:
Otwórz witrynę Azure Portal i znajdź środowisko usługi Azure Container Apps, w którym chcesz zaimportować certyfikat.
W obszarze Ustawienia wybierz pozycję Tożsamość.
Na karcie Przypisane przez system znajdź przełącznik Stan i wybierz pozycję Włączone.
Wybierz pozycję Zapisz, a po wyświetleniu okna Włącz tożsamość zarządzaną przypisaną przez system wybierz pozycję Tak.
W obszarze Etykieta Uprawnienia wybierz pozycję Przypisania ról platformy Azure, aby otworzyć okno przypisania ról.
Wybierz pozycję Dodaj przypisanie roli i wprowadź następujące wartości:
Właściwości Wartość Zakres Wybierz pozycję Key Vault. Subskrypcja Wybierz subskrypcję platformy Azure. Zasób Wybierz magazyn. Rola Wybierz pozycję Użytkownik wpisów tajnych usługi Key Vault. Wybierz pozycję Zapisz.
Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach a starszych zasad dostępu, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure a zasady dostępu.
Importowanie certyfikatu z usługi Key Vault
Otwórz witrynę Azure Portal i przejdź do środowiska usługi Azure Container Apps.
W obszarze Ustawienia wybierz pozycję Certyfikaty.
Wybierz kartę Bring your own certificates (PFX).
Wybierz pozycję Dodaj certyfikat.
W panelu Dodawanie certyfikatu w obszarze Źródło wybierz pozycję Importuj z usługi Key Vault.
Wybierz pozycję Wybierz certyfikat magazynu kluczy i wybierz następujące wartości:
Właściwości Wartość Subskrypcja Wybierz subskrypcję platformy Azure. Magazyn kluczy Wybierz magazyn. Certyfikat Wybierz certyfikat. Uwaga
Jeśli zostanie wyświetlony błąd "Operacja "Lista" nie jest włączona w zasadach dostępu tego magazynu kluczy", należy skonfigurować zasady dostępu w usłudze Key Vault, aby zezwolić kontu użytkownika na wyświetlanie listy certyfikatów. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu do usługi Key Vault.
Wybierz pozycję Wybierz.
W panelu Dodawanie certyfikatu w obszarze Tożsamość zarządzana wybierz pozycję Przypisany system. Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika, wybierz tożsamość zarządzaną przypisaną przez użytkownika.
Wybierz Dodaj.
Uwaga
Jeśli zostanie wyświetlony komunikat o błędzie, sprawdź, czy tożsamość zarządzana ma przypisaną rolę Użytkownik wpisów tajnych usługi Key Vault w usłudze Key Vault.
Konfigurowanie domeny niestandardowej
Po skonfigurowaniu certyfikatu można go użyć do zabezpieczenia domeny niestandardowej. Wykonaj kroki opisane w temacie Dodawanie domeny niestandardowej i wybierz certyfikat zaimportowany z usługi Key Vault.
Wymiana certyfikatów
Po rotacji certyfikatu w usłudze Key Vault usługa Azure Container Apps automatycznie aktualizuje certyfikat w danym środowisku. Zastosowanie nowego certyfikatu może potrwać do 12 godzin.