الشهادات وApp Service Environment
إشعار
تتناول هذه المقالة App Service Environment v3 المستخدم مع خطط Isolated v2 App Service
App Service Environment هي توزيع لـ Azure App Service التي تعمل داخل شبكة Azure الظاهرية. يمكن توزيعه باستخدام نقطة نهاية تطبيق يمكن الوصول إليها عبر الإنترنت أو نقطة نهاية تطبيق موجودة في شبكتك الظاهرية. إذا قمت بتوزيع App Service Environment باستخدام نقطة نهاية يمكن الوصول إليها عبر الإنترنت، فإن هذا التوزيع يسمى External App Service Environment. إذا قمت بتوزيع App Service Environment باستخدام نقطة نهاية في شبكتك الظاهرية، فإن هذا التوزيع يسمى ILB App Service Environment. يمكنك معرفة المزيد حول ILB App Service Environment من مستند إنشاء ILB App Service Environment واستخدامها.
شهادات التطبيق
تدعم التطبيقات التي تتم استضافتها في App Service Environment ميزات الشهادة التالية التي تركز على التطبيق، والتي تتوفر أيضا في خدمة التطبيقات متعددة المستأجرين. للحصول على متطلبات وإرشادات لتحميل هذه الشهادات وإدارتها، راجع إضافة شهادة TLS/SSL في Azure App Service.
بمجرد أن تضيف الشهادة إلى تطبيق App Service أو تطبيق دالة، يمكنك تأمين اسم مجال مخصص باستخدامه أو استخدامه في التعليمة البرمجية للتطبيق الخاص بك.
القيود
لا يتم دعم الشهادات المدارة في App Service على التطبيقات المستضافة في App Service Environment.
TLS settings
يمكنك تكوين إعداد TLS على مستوى التطبيق.
شهادة العميل الخاصة
ثمة حالة استخدام شائعة تتمثل في تكوين تطبيقك كعميل في نموذج خادم العميل. إذا قمت بتأمين الخادم الخاص بك بشهادة CA خاصة، فستحتاج إلى تحميل شهادة العميل (ملف.cer ) إلى تطبيقك. تقوم الإرشادات التالية بتحميل الشهادات إلى مخزن الثقة الخاص بالعاملين الذين يعمل عليه تطبيقك. تحتاج فقط إلى تحميل الشهادة مرة واحدة لاستخدامها مع التطبيقات الموجودة في نفس خطة App Service.
إشعار
شهادات العميل الخاصة مدعومة فقط من التعليمات البرمجية المخصصة في تطبيقات التعليمات البرمجية ل Windows. شهادات العميل الخاصة غير مدعومة خارج التطبيق. وهذا يحد من الاستخدام في سيناريوهات مثل سحب صورة حاوية التطبيق من سجل باستخدام شهادة خاصة والتحقق من صحة TLS من خلال خوادم الواجهة الأمامية باستخدام شهادة خاصة.
اتبع هذه الخطوات لتحميل الشهادة (ملف .cer) إلى تطبيقك في App Service Environment. يمكن تصدير ملف .cer من شهادتك. لأغراض الاختبار، هناك مثال PowerShell في النهاية لإنشاء شهادة مؤقتة موقعة ذاتيًا:
انتقل إلى التطبيق الذي يحتاج إلى الشهادة في مدخل Azure
انتقل إلى الشهادات في التطبيق. حدد شهادة المفتاح العام (.cer). حدد Add certificate. أدخل اسمًا. استعرض وحدد ملف .cer الخاص بك. حدد "upload".
نسخ بصمة الإبهام.
انتقل إلى الإعدادات تطبيق التكوين>. أنشئ إعداد تطبيق WEBSITE_LOAD_ROOT_CERTIFICATES مع بصمة الإبهام كقيمة. إذا كان لديك شهادات متعددة، فيمكنك وضعها في نفس الإعداد مفصولة بفواصل وبدون مسافة بيضاء مثل
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
تتوفر الشهادة من قبل جميع التطبيقات في نفس خطة خدمة التطبيق مثل التطبيق، والتي قامت بتكوين هذا الإعداد، ولكن يجب تكوين إعداد التطبيق لجميع التطبيقات التي تعتمد على شهادة المرجع المصدق الخاصة لتجنب مشكلات التوقيت.
إذا كنت بحاجة إلى أن تكون متوفرة للتطبيقات في خطة App Service مختلفة، فستحتاج إلى تكرار عملية إعداد التطبيق للتطبيقات في خطة App Service هذه. للتحقق من تعيين الشهادة، انتقل إلى وحدة تحكم Kudu وأصدر الأمر التالي في وحدة تحكم تتبع أخطاء PowerShell:
dir Cert:\LocalMachine\Root
لإجراء الاختبار، يمكنك إنشاء شهادة موقعة ذاتيًا وإنشاء ملف .cer باستخدام PowerShell التالي:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
شهادة الخادم الخاص
إذا كان تطبيقك يعمل كخادم في نموذج خادم العميل، إما خلف وكيل عكسي أو مباشرة مع عميل خاص وكنت تستخدم شهادة CA خاصة، فأنت بحاجة إلى تحميل شهادة الخادم (ملف.pfx ) مع سلسلة الشهادات الكاملة لتطبيقك وربط الشهادة بالمجال المخصص. نظرا لأن البنية الأساسية مخصصة لبيئة خدمة التطبيقات الخاصة بك، تتم إضافة سلسلة الشهادات الكاملة إلى مخزن الثقة للخوادم. تحتاج فقط إلى تحميل الشهادة مرة واحدة لاستخدامها مع التطبيقات الموجودة في بيئة App Service نفسها.
إشعار
إذا قمت بتحميل شهادتك قبل 1. أكتوبر 2023، ستحتاج إلى إعادة تحميل الشهادة وإعادة ربطها لإضافة سلسلة الشهادات الكاملة إلى الخوادم.
اتبع المجال المخصص الآمن مع البرنامج التعليمي TLS/SSL لتحميل/ربط شهادة CA الخاصة بك المتجذرة بالتطبيق في بيئة خدمة التطبيقات الخاصة بك.
الخطوات التالية
- معلومات حول كيفية استخدام الشهادات في التعليمات البرمجية للتطبيق