Přehled certifikátů pro Azure Cloud Services (klasické)

  • Článek

Důležité

Cloud Services (classic) je teď pro nové zákazníky zastaralý a bude vyřazen 31. srpna 2024 pro všechny zákazníky. Nová nasazení by měla používat nový model nasazení Azure Resource Manager založený na Azure Cloud Services (rozšířená podpora).

Certifikáty se v Azure používají pro cloudové služby (certifikáty služeb) a pro ověřování pomocí rozhraní API pro správu (certifikáty pro správu). Toto téma poskytuje obecný přehled o obou typech certifikátů a o tom, jak je vytvořit a nasadit do Azure.

Certifikáty používané v Azure jsou certifikáty x.509 v3 a můžou být podepsané jiným důvěryhodným certifikátem nebo podepsané svým držitelem. Certifikát podepsaný svým držitelem je podepsaný vlastním tvůrcem, proto není ve výchozím nastavení důvěryhodný. Většina prohlížečů tento problém ignoruje. Při vývoji a testování cloudových služeb byste měli používat pouze certifikáty podepsané svým držitelem.

Certifikáty používané Azure můžou obsahovat veřejný klíč. Certifikáty mají kryptografický otisk, který poskytuje prostředky k jejich jednoznačné identifikaci. Tento kryptografický otisk se používá v konfiguračním souboru Azure k identifikaci certifikátu, který by měla cloudová služba použít.

Poznámka

Azure Cloud Services nepřijímá šifrovaný certifikát AES256-SHA256.

Co jsou certifikáty služeb?

Certifikáty služeb jsou připojeny ke cloudovým službám a umožňují bezpečnou příchozí i odchozí komunikaci se službou. Pokud jste například nasadili webovou roli, budete chtít zadat certifikát, který může ověřit vystavený koncový bod HTTPS. Certifikáty služeb definované v definici služby se automaticky nasadí na virtuální počítač, na kterém běží instance vaší role.

Certifikáty služeb můžete do Azure nahrát pomocí webu Azure Portal nebo pomocí modelu nasazení Classic. Certifikáty služeb jsou přidruženy ke konkrétní cloudové službě. Jsou přiřazeny k nasazení v definičním souboru služby.

Certifikáty služeb je možné spravovat odděleně od vašich služeb a můžou je spravovat různí jednotlivci. Vývojář může například nahrát balíček služby, který odkazuje na certifikát, který správce IT předtím nahrál do Azure. Správce IT může tento certifikát spravovat a obnovovat (změnou konfigurace služby), aniž by musel nahrávat nový balíček služby. Aktualizace bez nového balíčku služby je možná, protože logický název, název úložiště a umístění certifikátu jsou v definičním souboru služby a zatímco kryptografický otisk certifikátu je zadaný v konfiguračním souboru služby. Pokud chcete aktualizovat certifikát, stačí nahrát nový certifikát a změnit hodnotu kryptografického otisku v konfiguračním souboru služby.

Poznámka

V článku Cloud Services nejčastější dotazy ke konfiguraci a správě najdete užitečné informace o certifikátech.

Co jsou certifikáty pro správu?

Certifikáty pro správu vám umožňují ověřit se pomocí modelu nasazení Classic. Mnoho programů a nástrojů (například Visual Studio nebo Azure SDK) používá tyto certifikáty k automatizaci konfigurace a nasazení různých služeb Azure. Ty ve skutečnosti nesouvisí s cloudovými službami.

Upozornění

Dej si pozor! Tyto typy certifikátů umožňují každému, kdo se u nich ověřuje, spravovat předplatné, ke kterému jsou přidružené.

Omezení

Pro každé předplatné platí limit 100 certifikátů pro správu. Platí také limit 100 certifikátů pro správu pro všechna předplatná s KONKRÉTNÍM ID uživatele správce služeb. Pokud se ID uživatele pro správce účtu už použilo k přidání 100 certifikátů pro správu a potřebujete další certifikáty, můžete přidat spolusprávce a přidat další certifikáty.

Certifikáty pro správu navíc není možné používat s předplatnými CSP, protože předplatná CSP podporují pouze model nasazení Azure Resource Manager a certifikáty pro správu používají model nasazení Classic. Další informace o možnostech předplatných CSP najdete v tématu Model nasazení Azure Resource Manager a Classic a Principy ověřování pomocí sady Azure SDK pro .NET.

Vytvoření nového certifikátu podepsaného svým držitelem

K vytvoření certifikátu podepsaného svým držitelem můžete použít libovolný nástroj, který je v souladu s těmito nastaveními:

  • Certifikát X.509.

  • Obsahuje veřejný klíč.

  • Vytvořeno pro výměnu klíčů (soubor .pfx).

  • Název subjektu se musí shodovat s doménou používanou pro přístup ke cloudové službě.

    Nemůžete získat certifikát TLS/SSL pro cloudapp.net doménu (nebo doménu související s Azure). název subjektu certifikátu se musí shodovat s vlastním názvem domény použitým pro přístup k vaší aplikaci. Například contoso.net, ne contoso.cloudapp.net.

  • Minimálně 2048bitové šifrování.

  • Pouze certifikát služby: Certifikát na straně klienta se musí nacházet v úložišti osobních certifikátů.

Existují dva jednoduché způsoby, jak vytvořit certifikát ve Windows pomocí makecert.exe nástroje nebo služby IIS.

Makecert.exe

Tento nástroj je zastaralý a už není zde zdokumentován. Další informace najdete v tomto článku na webu MSDN.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Poznámka

Pokud chcete certifikát použít s IP adresou místo domény, použijte IP adresu v parametru -DnsName.

Pokud chcete tento certifikát použít s portálem pro správu, vyexportujte ho do souboru .cer :

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

Na internetu je mnoho stránek, které popisují, jak to udělat se službou IIS. Tady je skvělý, že jsem zjistil, že si myslím, že to vysvětluje dobře.

Linux

Tento článek popisuje, jak vytvořit certifikáty pomocí SSH.

Další kroky

Nahrajte certifikát služby do Azure Portal.

Nahrajte certifikát rozhraní API pro správu do Azure Portal.