將憑證從 Azure Key Vault 匯入至「Azure 容器應用程式」
您可以設定 Azure Key Vault 以集中管理容器應用程式的 TLS/SSL 憑證,並處理更新、續訂和監視。
必要條件
需要 Azure Key Vault 資源來儲存您的憑證。 請參閱在 Azure Key Vault 中匯入憑證或在 Key Vault 中設定憑證自動輪換,以建立 Key Vault 並新增憑證。
例外狀況
雖然支援大部分的憑證類型,但需要記住一些例外情況。
- 不支援 ECDSA p384 和 p521 憑證。
- 由於「應用程式服務」憑證在 Key Vault 中的儲存方式,因此無法使用 Azure 入口網站匯入它們,而且需要 Azure CLI。
為容器應用程式環境啟用受控識別
「Azure 容器應用程式」會使用環境層級受控識別來存取您的 Key Vault 並匯入您的憑證。 若要啟用系統指派的受控識別,請遵循下列步驟:
開啟 Azure 入口網站,並找到您想要匯入憑證的「Azure 容器應用程式」環境。
從 [設定] 中,選取 [身分識別]。
在 [系統指派] 索引標籤上,找到 [狀態] 開關並選取 [開啟]。
選取 [儲存],當 [啟用系統指派的受控識別] 視窗出現時,請選取 [是]。
在 [權限] 標籤底下,選取 [Azure 角色指派] 以開啟 [角色指派] 視窗。
選取 [新增角色指派] 並輸入下列值:
屬性 值 範圍 選取 [Key Vault]。 訂用帳戶 選取 Azure 訂閱。 資源 選取您的保存庫。 角色 選取 [Key Vault 秘密使用者]。 選取 [儲存]。
如需 RBAC 與舊版存取原則的詳細資料,請參閱 Azure 角色型存取控制 (Azure RBAC) 與存取原則。
從 Key Vault 中匯入憑證
開啟 Azure 入口網站並移至您的「Azure 容器應用程式」環境。
從 [設定] 中,選取 [憑證]。
選取 [攜帶您自己的憑證 (.pfx)] 索引標籤。
選取 [新增憑證]。
在 [新增憑證] 面板上的 [來源] 中,選取 [從 Key Vault 匯入]。
選取 [選取金鑰保存庫憑證] 並選取下列值:
屬性 值 訂用帳戶 選取 Azure 訂閱。 Key vault 選取您的保存庫。 [MSSQLSERVER 的通訊協定內容] 選取您的憑證。 注意
如果您看到「此金鑰保存庫的存取原則中未啟用「列出」作業。」這個錯誤,您需要在您的 Key Vault 中設定存取原則以允許您的使用者帳戶列出憑證。 如需詳細資訊,請參閱指派 Key Vault 存取原則。
選取選取。
在 [新增憑證] 面板上的 [受控識別] 中,選取 [系統指派]。 如果您使用使用者指派的受控識別,請選取您的使用者指派的受控識別。
選取 [新增]。
注意
如果您收到錯誤訊息,請驗證該受控識別是否已獲指派 Key Vault 上的 Key Vault 秘密使用者角色。
設定自訂網域
設定您的憑證後,您可以用它來保護您的自訂網域。 請遵循新增自訂網域中的步驟,然後選取您從 Key Vault 中匯入的憑證。
輪換憑證
當您在 Key Vault 中輪換您的憑證時,「Azure 容器應用程式」會自動更新您環境中的憑證。 新的憑證最多需要 12 個小時才會套用。