Поделиться через

Импорт сертификатов из Azure Key Vault в приложения контейнеров Azure

  • Статья

Вы можете настроить Azure Key Vault для централизованного управления СЕРТИФИКАТами TLS/SSL приложения контейнера и обрабатывать обновления, обновления и мониторинг.

Необходимые компоненты

Ресурс Azure Key Vault необходим для хранения сертификата. См. статью "Импорт сертификата в Azure Key Vault" или "Настройка автоматического поворота сертификата" в Key Vault, чтобы создать Key Vault и добавить сертификат.

Исключения

Хотя большинство типов сертификатов поддерживаются, следует учитывать несколько исключений.

  • Сертификаты ECDSA p384 и p521 не поддерживаются.
  • Из-за сохранения сертификатов Служба приложений в Key Vault их нельзя импортировать с помощью портала Azure и требовать Azure CLI.

Включение управляемого удостоверения для среды "Приложения контейнеров"

Приложения контейнеров Azure используют управляемое удостоверение уровня среды для доступа к Key Vault и импорта сертификата. Чтобы включить управляемое удостоверение, назначаемое системой, выполните следующие действия.

  1. Откройте портал Azure и найдите среду Приложений контейнеров Azure, где вы хотите импортировать сертификат.

  2. В разделе "Параметры" выберите "Удостоверение".

  3. На вкладке " Назначенная системой" найдите переключатель состояния и нажмите кнопку "Вкл.".

  4. Нажмите кнопку "Сохранить", а когда появится окно "Включить назначенное системой управляемое удостоверение ", нажмите кнопку "Да".

  5. В метки "Разрешения" выберите назначения ролей Azure, чтобы открыть окно назначений ролей.

  6. Выберите " Добавить назначение ролей" и введите следующие значения:

    Свойство Значение
    Область Выберите Key Vault.
    Отток подписок Выберите свою подписку Azure.
    Ресурс Выберите хранилище.
    Роль Выберите пользователя секретов Key Vault.

  7. Выберите Сохранить.

Дополнительные сведения о политиках доступа RBAC и устаревших политиках доступа см. в статьях "Управление доступом на основе ролей Azure" (Azure RBAC) и политики доступа.

Импорт сертификата из Key Vault

  1. Откройте портал Azure и перейдите в среду приложений контейнеров Azure.

  2. В разделе "Параметры" выберите "Сертификаты".

  3. Перейдите на вкладку "Вывод собственных сертификатов" (PFX).

  4. Нажмите Добавить сертификат.

  5. На панели "Добавить сертификат" в источнике выберите "Импорт" из Key Vault.

  6. Выберите сертификат хранилища ключей и выберите следующие значения:

    Свойство Значение
    Отток подписок Выберите свою подписку Azure.
    Хранилище ключей Выберите хранилище.
    Сертификат Выберите сертификат.

    Примечание.

    Если появится сообщение об ошибке "Операция "Список" не включена в политике доступа к хранилищу ключей". Необходимо настроить политику доступа в Key Vault, чтобы разрешить учетной записи пользователя выводить список сертификатов. Подробнее см. в статье Назначение политики доступа Key Vault.

  7. Выберите Выбрать.

  8. На панели "Добавление сертификата" в управляемом удостоверении выберите "Назначенная система". Если вы используете управляемое удостоверение, назначаемое пользователем, выберите управляемое удостоверение, назначаемое пользователем.

  9. Выберите Добавить.

Примечание.

Если вы получаете сообщение об ошибке, убедитесь, что управляемое удостоверение назначено роли пользователя секретов Key Vault в Key Vault.

Настройка личного домена

После настройки сертификата его можно использовать для защиты личного домена. Выполните действия, описанные в разделе "Добавление личного домена " и выберите сертификат, импортированный из Key Vault.

Ротация сертификатов

При смене сертификата в Key Vault приложения контейнеров Azure автоматически обновляют сертификат в вашей среде. Для применения нового сертификата требуется до 12 часов.

Сертификаты в приложениях контейнеров Azure