Настройка сертификатов безопасности
Вам было предложено помочь защитить информацию, передаваемую между приложением вашей компании и клиентом. Служба приложений Azure содержит инструменты, позволяющие создавать, передавать или импортировать частный или общедоступный сертификат в службу приложений.
Сертификат, отправленный в приложение, хранится в единице развертывания, привязанной к сочетанию региона и группы ресурсов плана службы приложений (внутреннее название — веб-пространство). Это сделает сертификат доступным другим приложениям в том же сочетании группы ресурсов и региона.
В следующей таблице подробно описаны варианты добавления сертификатов в службу приложений.
| Вариант | Описание |
|---|---|
| Создание управляемого сертификата Службы приложений | Частный сертификат, который можно бесплатно и легко использовать, если требуется только защитить личный домен в Службе приложений. |
| Приобретение сертификата Службы приложений | Закрытый сертификат, управляемый Azure. Он сочетает простоту автоматического управления сертификатами и гибкость возможностей продления и экспорта. |
| Импорт сертификата из Key Vault | Полезно, если вы используете Azure Key Vault для управления сертификатами. |
| Передача закрытого сертификата | Если у вас уже есть закрытый сертификат от стороннего поставщика, вы можете его передать. |
| Передача открытого сертификата | Общедоступные сертификаты не используются для защиты пользовательских доменов, но их можно загрузить в код, если им нужен доступ к удаленным ресурсам. |
Требования к закрытым сертификатам
Бесплатный управляемый сертификат службы приложений и сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы хотите использовать в службе приложений частный сертификат, он должен соответствовать следующим требованиям.
- должен быть экспортирован как защищенный паролем PFX-файл, зашифрованный с помощью TRIPLE DES;
- Содержит закрытый ключ длиной не менее 2048 битов.
- должен содержать все промежуточные сертификаты и корневой сертификат в цепочке сертификатов.
Чтобы защитить личный домен в привязке TLS, сертификат имеет другие требования:
- должен содержать данные расширенного использования ключа для аутентификации сервера (OID = 1.3.6.1.5.5.7.3.1);
- Подписан доверенным центром сертификации
Создание бесплатного управляемого сертификата
Для создания настраиваемых привязок TLS/SSL или включения сертификатов клиента для приложения службы приложений план службы приложений должен находиться на уровне Базовый, Стандартный, Премиум или Изолированный.
Бесплатный управляемый сертификат Службы приложений — это полноценное решение для защиты настраиваемого DNS-имени в Службе приложений. Это сертификат сервера TLS/SSL, полностью управляемый Службой приложений и обновляемый непрерывно и автоматически с шагом в шесть месяцев за 45 дней до истечения срока действия. Вам нужно создать сертификат и привязать его к пользовательскому домену, делегировав Службе приложений выполнение остальных действий.
Внимание
Прежде чем создавать бесплатный управляемый сертификат, убедитесь, что выполнены все необходимые требования для приложения. Бесплатные сертификаты выдаются DigiCert. Для некоторых доменов необходимо явно разрешить DigiCert в качестве издателя сертификата, создав запись домена CAA со значением: 0 issue digicert.com Так как Azure полностью управляет сертификатами от вашего имени, любой аспект управляемого сертификата, включая корневого издателя, может быть изменен в любое время. Вы не можете контролировать эти изменения. Старайтесь избегать жестких зависимостей и "привязки" практических сертификатов к управляемому сертификату или любой части иерархии сертификатов.
Бесплатный сертификат имеет следующие ограничения:
- не поддерживает групповые сертификаты;
- не поддерживает использование в качестве сертификата клиента с помощью отпечатка сертификата, который планируется для отмены и удаления;
- не поддерживает частные службы DNS;
- не экспортируется;
- не поддерживается в Среде службы приложений (ASE);
- поддерживает только буквы, цифры, дефисы (-) и точки (.).
- Поддерживаются только пользовательские домены длиной до 64 символов.
Импорт сертификата Службы приложений
Если вы приобрели сертификат Службы приложений из Azure, то Azure управляет следующими задачами:
- Заботится о процессе покупки от поставщика сертификатов.
- выполняет проверку домена сертификата;
- хранит сертификат в Azure Key Vault;
- управляет обновлением сертификата;
- автоматически синхронизирует сертификат с импортированными копиями в приложениях Службы приложений.
Если у вас уже есть действующий сертификат Службы приложений, вы можете:
- импортировать сертификат в Службу приложений;
- управлять сертификатом, например, продлить срок действия, переназначить ключ и экспортировать его.
Примечание.
В настоящее время служба "Сертификаты службы приложений" не поддерживается в национальных облаках Azure.