你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将证书从 Azure 密钥保管库导入到 Azure 容器应用
可以设置 Azure Key Vault 来集中管理容器应用的 TLS/SSL 证书并处理更新、续订和监视。
先决条件
需要 Azure Key Vault 资源来存储证书。 请参阅在 Azure Key Vault 中导入证书或在 Key Vault 中配置证书自动轮换,以创建 Key Vault 并添加证书。
异常
虽然大多数证书类型都受支持,但有一些例外情况需要注意。
- ECDSA p384 和 p521 证书不受支持。
- 由于应用服务证书在 Key Vault 中的保存方式,因此无法通过 Azure 门户导入,而是需要使用 Azure CLI。
为容器应用环境启用托管标识
Azure 容器应用使用环境级托管标识来访问 Key Vault 并导入证书。 若要启用系统分配的托管标识,请按照以下步骤操作:
打开 Azure 门户并找到要将证书导入到的 Azure 容器应用环境。
在“设置”中选择“标识”。
在“系统分配”选项卡上,找到“状态”开关并选择“打开”。
选择“保存”,在出现“启用系统分配的托管标识”窗口时选择“是”。
在“权限”标签下,选择“Azure 角色分配”打开角色分配窗口。
选择“添加角色分配”并输入以下值:
属性 值 范围 选择“密钥保管库”。 订阅 选择 Azure 订阅。 资源 选择保管库。 角色 选择“密钥保管库机密用户”。 选择“保存”。
有关 RBAC 与旧访问策略的详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略。
从 Key Vault 导入证书
打开 Azure 门户并转到 Azure 容器应用环境。
从“设置”中选择“证书”。
选择“自带证书(.pfx)”选项卡。
选择“添加证书”。
在“添加证书”面板中,在“源”中选择“从 Key Vault 导入”。
选择“选择密钥保管库证书”并选择以下值:
属性 值 订阅 选择 Azure 订阅。 密钥保管库 选择保管库。 证书 选择证书。 注意
如果看到错误“此密钥保管库的访问策略中未启用“列出”操作。”,则需要在 Key Vault 中配置访问策略,以允许用户帐户列出证书。 有关详细信息,请参阅分配 Key Vault 访问策略。
选择“选择” 。
在“添加证书”面板的“托管标识”中,选择“系统分配”。 如果使用用户分配的托管标识,请选择用户分配的托管标识。
选择 添加 。
注意
如果收到错误消息,请验证是否向托管标识分配了 Key Vault 上的“Key Vault 机密用户”角色。
配置自定义域
配置证书后,可以使用它来保护自定义域。 按照添加自定义域中的步骤操作,并选择从 Key Vault 导入的证书。
轮换证书
在 Key Vault 中轮换证书时,Azure 容器应用会自动更新环境中的证书。 应用新证书最多需要 12 小时。