Sertifikat dan Lingkungan App Service

Catatan

Artikel ini berisi tentang App Service Environment v3 yang digunakan dengan paket App Service v2 Terisolasi

Lingkungan Azure App Service (ASE) adalah penyebaran Azure App Service yang berjalan dalam jaringan virtual Azure Anda. Penyebaran tersebut dapat digunakan dengan titik akhir aplikasi yang dapat diakses dengan internet atau titik akhir aplikasi yang ada di jaringan virtual Anda. Jika Anda menyebarkan Lingkungan Azure App Service dengan titik akhir yang dapat diakses internet, penyebaran tersebut disebut Lingkungan Azure App Service Eksternal. Jika Anda menerapkan Lingkungan Azure App Service dengan titik akhir di jaringan virtual Anda, penyebaran tersebut disebut Lingkungan Azure App Service ILB. Anda dapat mempelajari selengkapnya tentang Lingkungan Azure App Service ILB dari dokumen Buat dan gunakan Lingkungan Azure App ServiceILB.

Sertifikat aplikasi

Aplikasi yang dihosting di Lingkungan App Service mendukung fitur sertifikat yang ber sentris aplikasi berikut, yang juga tersedia di App Service multipenyewa. Persyaratan dan petunjuk untuk mengunggah dan mengelola sertifikat tersebut, lihat Menambahkan sertifikat TLS/SSL di Azure App Service.

• Sertifikat SNI
• Sertifikat yang dihosting KeyVault

Setelah Anda menambahkan sertifikat ke aplikasi Azure App Service atau aplikasi fungsi, Anda dapat mengamankan nama domain kustom denganya atau menggunakannya dalam kode aplikasi Anda.

Batasan

Sertifikat terkelola Azure App Service tidak didukung pada aplikasi yang dihosting di Lingkungan Azure App Service.

pengaturan TLS

Anda dapat mengonfigurasi pengaturan TLS di tingkat aplikasi.

Sertifikat klien privat

Kasus penggunaan yang umum adalah mengonfigurasi aplikasi Anda sebagai klien dalam model server-klien. Jika Anda mengamankan server dengan sertifikat CA privat, Anda perlu mengunggah sertifikat klien (file .cer ) ke aplikasi Anda. Instruksi berikut memuat sertifikat ke penyimpanan kepercayaan pekerja tempat aplikasi Anda berjalan. Anda hanya perlu mengunggah sertifikat sekali untuk menggunakannya dengan aplikasi yang berada dalam paket Azure App Service yang sama.

Catatan

Sertifikat klien privat hanya didukung dari kode kustom di aplikasi kode Windows. Sertifikat klien privat tidak didukung di luar aplikasi. Hal ini membatasi penggunaan dalam skenario seperti menarik kontainer gambar aplikasi dari registri menggunakan sertifikat privat dan memvalidasi TLS melalui server front-end menggunakan sertifikat privat.

Ikuti langkah-langkah ini untuk mengunggah sertifikat (file .cer) ke aplikasi Anda di Azure App Service. File .cer dapat diekspor dari sertifikat Anda. Untuk tujuan pengujian, ada contoh PowerShell di bagian akhir untuk menghasilkan sertifikat yang sementara ditandatangani sendiri:

1. Buka aplikasi yang memerlukan sertifikat di portal Microsoft Azure

2. Buka Sertifikat di aplikasi. Klik Sertifikat Kunci Umum (.cer). Pilih Tambahkan sertifikat. Berikan nama. Telusuri dan pilih file .cer Anda. Pilih unggah.

3. Salin thumbprint.

4. BukaPengaturan AplikasiKonfigurasi>. Buat pengaturan aplikasi WEBSITE_LOAD_ROOT_CERTIFICATES dengan thumbprint sebagai nilainya. Jika Anda memiliki beberapa sertifikat, Anda dapat meletakkannya di pengaturan yang sama dipisahkan dengan koma dan tidak ada spasi putih seperti

   84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Sertifikat tersedia oleh semua aplikasi dalam paket layanan aplikasi yang sama dengan aplikasi, yang mengonfigurasi pengaturan tersebut, tetapi semua aplikasi yang bergantung pada sertifikat CA privat harus memiliki Pengaturan Aplikasi yang dikonfigurasi untuk menghindari masalah waktu.

Jika Anda memerlukannya agar tersedia untuk aplikasi dalam paket App Service yang berbeda, Anda perlu mengulangi operasi pengaturan aplikasi untuk aplikasi dalam paket App Service tersebut. Untuk memeriksa apakah sertifikat telah di set, buka konsol Kudu dan keluarkan perintah berikut di konsol debug PowerShell:

dir Cert:\LocalMachine\Root

Untuk melakukan pengujian, Anda bisa membuat sertifikat yang ditandatangani sendiri dan menghasilkan file .cer dengan PowerShell berikut:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Sertifikat server privat

Jika aplikasi Anda bertindak sebagai server dalam model server klien, baik di belakang proksi terbalik atau langsung dengan klien privat dan Anda menggunakan sertifikat CA privat, Anda perlu mengunggah sertifikat server (file.pfx ) dengan rantai sertifikat lengkap ke aplikasi Anda dan mengikat sertifikat ke domain kustom. Karena infrastruktur didedikasikan untuk Lingkungan App Service Anda, rantai sertifikat lengkap ditambahkan ke penyimpanan kepercayaan server. Anda hanya perlu mengunggah sertifikat sekali untuk menggunakannya dengan aplikasi yang berada di Lingkungan App Service yang sama.

Catatan

Jika Anda mengunggah sertifikat sebelum 1. Oktober 2023, Anda harus memuat ulang dan mengikat ulang sertifikat agar rantai sertifikat lengkap ditambahkan ke server.

Ikuti domain kustom yang aman dengan tutorial TLS/SSL untuk mengunggah/mengikat sertifikat berakar CA privat Anda ke aplikasi di Lingkungan App Service Anda.

Langkah berikutnya

• Informasi tentang cara menggunakan sertifikat dalam kode aplikasi