Używanie certyfikatów TLS/SSL w aplikacji w usłudze Azure Spring Apps

Uwaga

Plany Basic, Standardi Enterprise weszły w okres wycofywania 17 marca 2025 r. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu usługi Azure Spring Apps.

Plan dotyczący zużycia standardowego oraz dedykowany plan zostały wycofane 30 września 2024 r., z całkowitym zamknięciem do końca marca 2025 r. Aby uzyskać więcej informacji, zobacz Migrowanie użycia usługi Azure Spring Apps w warstwie Standardowa i dedykowanego planu do usługi Azure Container Apps.

Ten artykuł dotyczy:✅ Podstawowa/Standardowa ✅ Enterprise

W tym artykule pokazano, jak używać certyfikatów publicznych w usłudze Azure Spring Apps dla aplikacji. Aplikacja może działać jako klient i uzyskiwać dostęp do usługi zewnętrznej, która wymaga uwierzytelniania certyfikatu lub może wymagać wykonywania zadań kryptograficznych.

Gdy zezwolisz usłudze Azure Spring Apps na zarządzanie certyfikatami TLS/SSL, możesz zachować certyfikaty i kod aplikacji oddzielnie w celu ochrony poufnych danych. Kod aplikacji może uzyskiwać dostęp do certyfikatów publicznych dodanych do instancji Azure Spring Apps.

Wymagania wstępne

• Aplikacja wdrożona w usłudze Azure Spring Apps. Zobacz Szybki start: wdrażanie pierwszej aplikacji w usłudze Azure Spring Apps lub używanie istniejącej aplikacji.
• Plik certyfikatu z rozszerzeniem .crt, .cer, pem lub .der albo wdrożone wystąpienie usługi Azure Key Vault z certyfikatem prywatnym.

Importowanie certyfikatu

Możesz zdecydować się na zaimportowanie certyfikatu do wystąpienia usługi Azure Spring Apps, korzystając z usługi Key Vault, lub użyć lokalnego pliku certyfikatu.

Importowanie certyfikatu z usługi Key Vault

Przed zaimportowanie certyfikatu musisz przyznać usłudze Azure Spring Apps dostęp do magazynu kluczy.

Usługa Azure Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która działa na płaszczyźnie kontroli i danych platformy Azure oraz model zasad dostępu, który działa samodzielnie na płaszczyźnie danych.

Aby udzielić dostępu, wykonaj następujące czynności:

Zasady dostępu

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Skrzynki kluczy, a następnie wybierz ten, z którego importujesz certyfikat.

3. W okienku nawigacji wybierz pozycję Zasady dostępu, a następnie wybierz pozycję Utwórz.

4. Wybierz pozycję Uprawnienia certyfikatu, a następnie wybierz pozycję Pobierz i Wyświetl.

   

5. W obszarze Główne konto, wybierz opcję Azure Spring Cloud Resource Provider.

   

6. Wybierz Przejrzyj i utwórz, a następnie wybierz Utwórz.

RBAC

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz Magazyny kluczy, a następnie wybierz magazyn kluczy, z którego importujesz swój certyfikat.

3. W okienku nawigacji wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję Dodaj przypisanie roli.

4. Wyszukaj pozycję Certyfikat, a następnie wybierz rolę o nazwie Użytkownik certyfikatu usługi Key Vault.

   

5. W obszarze Członkowie wybierz pozycję Wybierz członków. Wyszukaj pozycję Azure Spring Cloud Resource Provider, wybierz dostawcę, a następnie wybierz pozycję Wybierz.

   

6. Wybierz Przejrzyj + przypisz.

Po udzieleniu dostępu do magazynu kluczy możesz zaimportować certyfikat, wykonując następujące kroki:

1. Przejdź do wystąpienia usługi.

2. W lewym panelu nawigacyjnym twojego wystąpienia wybierz Ustawienia protokołu TLS/SSL.

3. Wybierz Importuj certyfikat Key Vault w sekcji Certyfikaty Kluczy Publicznych.

4. Wybierz magazyn kluczy w sekcji Magazyny kluczy, wybierz certyfikat w sekcji Certyfikat , a następnie wybierz pozycję Wybierz.

5. Podaj wartość w polu Nazwa certyfikatu, wybierz pozycję Włącz automatyczną synchronizację w razie potrzeby, a następnie wybierz pozycję Zastosuj. Aby uzyskać więcej informacji, zobacz sekcję Automatyczne synchronizowanie certyfikatu w Przypisz istniejącą domenę niestandardową do Azure Spring Apps.

Po pomyślnym zaimportowaniu certyfikatu zobaczysz go na liście Certyfikaty kluczy publicznych.

Uwaga

Wystąpienia usługi Azure Key Vault i Azure Spring Apps powinny znajdować się w tej samej dzierżawie.

Importowanie pliku certyfikatu lokalnego

Plik certyfikatu przechowywany lokalnie można zaimportować, wykonując następujące kroki:

1. Przejdź do wystąpienia usługi.
2. Z panelu nawigacyjnego po lewej stronie twojego wystąpienia wybierz Ustawienia TLS/SSL.
3. Wybierz Przekaż publiczny certyfikat w sekcji Certyfikaty kluczy publicznych.

Po pomyślnym zaimportowaniu certyfikatu zobaczysz go na liście Certyfikaty kluczy publicznych.

Ładowanie certyfikatu

Aby załadować certyfikat do aplikacji w usłudze Azure Spring Apps, zacznij od następujących kroków:

1. Przejdź do wystąpienia aplikacji.
2. W okienku nawigacji po lewej stronie aplikacji wybierz pozycję Zarządzanie certyfikatami.
3. Wybierz pozycję Dodaj certyfikat, aby wybrać certyfikaty dostępne dla aplikacji.

Ładowanie certyfikatu z kodu

Załadowane certyfikaty są dostępne w folderze /etc/azure-spring-cloud/certs/public . Użyj następującego kodu Java, aby załadować certyfikat publiczny w aplikacji w usłudze Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Załaduj certyfikat do magazynu zaufania

W przypadku aplikacji Java możesz wybrać opcję Załaduj do magazynu zaufania dla wybranego certyfikatu. Certyfikat jest automatycznie dodawany do domyślnych keystore zaufania Java w celu uwierzytelnienia serwera w ramach autoryzacji TLS/SSL.

Poniższy dziennik z aplikacji pokazuje, że certyfikat został pomyślnie załadowany.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Następne kroki

• Włącz zabezpieczenia warstwy transportu do aplikacji
• Dostęp do serwera konfiguracji i rejestru usług