Konfigurowanie certyfikatów zabezpieczeń
Poproszono Cię o zabezpieczenie informacji przesyłanych między aplikacją firmy a klientem. aplikacja systemu Azure Service zawiera narzędzia, które umożliwiają tworzenie, przekazywanie lub importowanie prywatnego certyfikatu lub certyfikatu publicznego do usługi App Service.
Certyfikat przekazany do aplikacji jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów i regionem planu usługi App Service (wewnętrznie nazywaną przestrzenią internetową). Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej grupie zasobów i kombinacji regionów.
W poniższej tabeli przedstawiono opcje dodawania certyfikatów w usłudze App Service:
| Opcja | Opis |
|---|---|
| Tworzenie bezpłatnego certyfikatu zarządzanego usługi App Service | Prywatny certyfikat, który jest bezpłatny i łatwy w użyciu, jeśli wystarczy zabezpieczyć domenę niestandardową w usłudze App Service. |
| Kupowanie certyfikatu usługi App Service | Prywatny certyfikat zarządzany przez platformę Azure. Łączy prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania. |
| Importowanie certyfikatu z usługi Key Vault | Przydatne, jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami. |
| Przekazywanie certyfikatu prywatnego | Jeśli masz już certyfikat prywatny od dostawcy innej firmy, możesz go przekazać. |
| Przekazywanie certyfikatu publicznego | Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można załadować je do kodu, jeśli są one potrzebne do uzyskiwania dostępu do zasobów zdalnych. |
Wymagania dotyczące certyfikatu prywatnego
Bezpłatny certyfikat zarządzany przez usługę App Service i certyfikat usługi App Service spełniają już wymagania usługi App Service. Jeśli chcesz użyć certyfikatu prywatnego w usłudze App Service, certyfikat musi spełniać następujące wymagania:
- Wyeksportowany jako plik PFX chroniony hasłem, zaszyfrowany przy użyciu potrójnego des.
- Zawiera klucz prywatny o długości co najmniej 2048 bitów.
- Zawiera wszystkie certyfikaty pośrednie i certyfikat główny w łańcuchu certyfikatów.
Aby zabezpieczyć domenę niestandardową w powiązaniu tls, certyfikat ma inne wymagania:
- Zawiera rozszerzone użycie klucza na potrzeby uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1)
- Podpisany przez zaufany urząd certyfikacji
Tworzenie bezpłatnego certyfikatu zarządzanego
Aby utworzyć niestandardowe powiązania TLS/SSL lub włączyć certyfikaty klienta dla aplikacji usługi App Service, plan usługi App Service musi znajdować się w warstwie Podstawowa, Standardowa, Premium lub Izolowana .
Bezpłatny certyfikat zarządzany przez usługę App Service to kompleksowe rozwiązanie do zabezpieczania niestandardowej nazwy DNS w usłudze App Service. Jest to certyfikat serwera TLS/SSL, który jest w pełni zarządzany przez usługę App Service i odnawiany w sposób ciągły i automatycznie w sześciu miesiącach przyrostów, 45 dni przed wygaśnięciem. Utworzysz certyfikat i powiążesz go z domeną niestandardową, a usługa App Service zrobi resztę.
Ważne
Przed utworzeniem bezpłatnego certyfikatu zarządzanego upewnij się, że zostały spełnione wymagania wstępne aplikacji. Bezpłatne certyfikaty są wystawiane przez firmę DigiCert. W przypadku niektórych domen należy jawnie zezwolić firmie DigiCert na wystawcę certyfikatów, tworząc rekord domeny CAA z wartością : 0 issue digicert.com. Platforma Azure w pełni zarządza certyfikatami w Twoim imieniu, więc każdy aspekt certyfikatu zarządzanego, w tym wystawca główny, może ulec zmianie w dowolnym momencie. Te zmiany wykraczają poza twoją kontrolę. Pamiętaj, aby uniknąć twardych zależności i "przypinanie" certyfikatów praktyk do zarządzanego certyfikatu lub dowolnej części hierarchii certyfikatów.
Bezpłatny certyfikat ma następujące ograniczenia:
- Nie obsługuje certyfikatów z symbolami wieloznacznymi.
- Nie obsługuje użycia jako certyfikatu klienta przy użyciu odcisku palca certyfikatu, który jest planowany do wycofania i usunięcia.
- Nie obsługuje prywatnego systemu DNS.
- Nie można eksportować.
- Nie jest obsługiwana w środowisku App Service Environment (ASE).
- Obsługuje tylko znaki alfanumeryczne, kreski (-) i kropki (.).
- Obsługiwane są tylko domeny niestandardowe o długości do 64 znaków.
Importowanie certyfikatu usługi App Service
W przypadku zakupu certyfikatu usługi App Service z platformy Azure platforma Azure zarządza następującymi zadaniami:
- Zajmuje się procesem zakupu od dostawcy certyfikatów.
- Przeprowadza weryfikację domeny certyfikatu.
- Utrzymuje certyfikat w usłudze Azure Key Vault.
- Zarządza odnawianiem certyfikatu.
- Zsynchronizuj certyfikat automatycznie z zaimportowanymi kopiami w aplikacjach usługi App Service.
Jeśli masz już działający certyfikat usługi App Service, możesz:
- Zaimportuj certyfikat do usługi App Service.
- Zarządzaj certyfikatem, takim jak odnawianie, ponowne aktualizowanie i eksportowanie go.
Uwaga
Obecnie certyfikaty usługi App Service nie są obsługiwane w chmurach krajowych platformy Azure.