Configurazione della sicurezza del servizio di divisione e unioneSplit-merge security configuration

Per usare il servizio di "split and merge", è necessario configurare correttamente le impostazioni sulla sicurezza.To use the Split/Merge service, you must correctly configure security. Il servizio rientra nella funzionalità Scalabilità elastica di database SQL di Microsoft Azur.The service is part of the Elastic Scale feature of Microsoft Azure SQL Database. Per altre informazioni, vedere Esercitazione relativa allo strumento divisione-unione del database elastico.For more information, see Elastic Scale Split and Merge Service Tutorial.

Configurazione dei certificatiConfiguring certificates

I certificati vengono configurati in due modi.Certificates are configured in two ways.

  1. Per configurare il certificato SSLTo Configure the SSL Certificate
  2. Per configurare i certificati clientTo Configure Client Certificates

Per ottenere i certificatiTo obtain certificates

È possibile ottenere i certificati da Autorità di certificazione (CA) pubbliche o dal servizio certificati di Windows.Certificates can be obtained from public Certificate Authorities (CAs) or from the Windows Certificate Service. Questi sono i metodi consigliati per ottenere i certificati.These are the preferred methods to obtain certificates.

Se tali opzioni non sono disponibili, è possibile generare certificati autofirmati.If those options are not available, you can generate self-signed certificates.

Strumenti per generare i certificatiTools to generate certificates

Per eseguire gli strumentiTo run the tools

Per configurare il certificato SSLTo configure the SSL certificate

Un certificato SSL è necessario per crittografare la comunicazione e autenticare il server.A SSL certificate is required to encrypt the communication and authenticate the server. Scegliere il più appropriato dei tre seguenti scenari ed eseguirne tutti i passaggi:Choose the most applicable of the three scenarios below, and execute all its steps:

Creare un nuovo certificato autofirmatoCreate a new self-signed certificate

  1. Creare un certificato autofirmatoCreate a Self-Signed Certificate
  2. Creare un file PFX per il certificato SSL autofirmatoCreate PFX file for Self-Signed SSL Certificate
  3. Caricare il certificato SSL nel servizio cloudUpload SSL Certificate to Cloud Service
  4. Aggiornare il certificato SSL nel file di configurazione del servizioUpdate SSL Certificate in Service Configuration File
  5. Importare l'Autorità di certificazione SSLImport SSL Certification Authority

Per usare un certificato esistente dall'archivio certificatiTo use an existing certificate from the certificate store

  1. Esportare il certificato SSL dall'archivio certificatiExport SSL Certificate From Certificate Store
  2. Caricare il certificato SSL nel servizio cloudUpload SSL Certificate to Cloud Service
  3. Aggiornare il certificato SSL nel file di configurazione del servizioUpdate SSL Certificate in Service Configuration File

Per usare un certificato esistente in un file con estensione pfxTo use an existing certificate in a PFX file

  1. Caricare il certificato SSL nel servizio cloudUpload SSL Certificate to Cloud Service
  2. Aggiornare il certificato SSL nel file di configurazione del servizioUpdate SSL Certificate in Service Configuration File

Per configurare i certificati clientTo configure client certificates

I certificati client sono necessari per autenticare le richieste al servizio.Client certificates are required in order to authenticate requests to the service. Scegliere il più appropriato dei tre seguenti scenari ed eseguirne tutti i passaggi:Choose the most applicable of the three scenarios below, and execute all its steps:

Disabilitare i certificati clientTurn off client certificates

  1. Disabilitare l'autenticazione basata su certificati clientTurn Off Client Certificate-Based Authentication

Rilasciare nuovi certificati autofirmatiIssue new self-signed client certificates

  1. Creare un'autorità di certificazione autofirmataCreate a Self-Signed Certification Authority
  2. Caricare un certificato della CA nel servizio cloudUpload CA Certificate to Cloud Service
  3. Aggiornare il certificato della CA nel file di configurazione del servizioUpdate CA Certificate in Service Configuration File
  4. Rilasciare certificati clientIssue Client Certificates
  5. Creare file PFX per i certificati clientCreate PFX files for Client Certificates
  6. Importare il certificato clientImport Client Certificate
  7. Copiare le identificazioni personali del certificato clientCopy Client Certificate Thumbprints
  8. Configurare i client consentiti nel file di configurazione del servizioConfigure Allowed Clients in the Service Configuration File

Usare i certificati client esistentiUse existing client certificates

  1. Find CA Public KeyFind CA Public Key
  2. Caricare un certificato della CA nel servizio cloudUpload CA Certificate to Cloud Service
  3. Aggiornare il certificato della CA nel file di configurazione del servizioUpdate CA Certificate in Service Configuration File
  4. Copiare le identificazioni personali del certificato clientCopy Client Certificate Thumbprints
  5. Configurare i client consentiti nel file di configurazione del servizioConfigure Allowed Clients in the Service Configuration File
  6. Configurare il controllo della revoca del certificato clientConfigure Client Certificate Revocation Check

Indirizzi IP consentitiAllowed IP addresses

L'accesso agli endpoint del servizio può essere limitato a intervalli specifici di indirizzi IP.Access to the service endpoints can be restricted to specific ranges of IP addresses.

Per configurare la crittografia per l'archivioTo configure encryption for the store

È necessario un certificato per crittografare le credenziali archiviate nell'archivio di metadati.A certificate is required to encrypt the credentials that are stored in the metadata store. Scegliere il più appropriato dei tre seguenti scenari ed eseguirne tutti i passaggi:Choose the most applicable of the three scenarios below, and execute all its steps:

Usare un nuovo certificato autofirmatoUse a new self-signed certificate

  1. Creare un certificato autofirmatoCreate a Self-Signed Certificate
  2. Creare un file PFX per il certificato di crittografia autofirmatoCreate PFX file for Self-Signed Encryption Certificate
  3. Caricare il certificato di crittografia nel servizio cloudUpload Encryption Certificate to Cloud Service
  4. Aggiornare il certificato di crittografia nel file di configurazione del servizioUpdate Encryption Certificate in Service Configuration File

Usare un certificato esistente dall'archivio certificatiUse an existing certificate from the certificate store

  1. Esportare il certificato di crittografia dall'archivio certificatiExport Encryption Certificate From Certificate Store
  2. Caricare il certificato di crittografia nel servizio cloudUpload Encryption Certificate to Cloud Service
  3. Aggiornare il certificato di crittografia nel file di configurazione del servizioUpdate Encryption Certificate in Service Configuration File

Usare un certificato esistente in un file PFXUse an existing certificate in a PFX file

  1. Caricare il certificato di crittografia nel servizio cloudUpload Encryption Certificate to Cloud Service
  2. Aggiornare il certificato di crittografia nel file di configurazione del servizioUpdate Encryption Certificate in Service Configuration File

Configurazione predefinitaThe default configuration

La configurazione predefinita nega qualunque accesso all'endpoint HTTP.The default configuration denies all access to the HTTP endpoint. Questa è l'impostazione consigliata, in quanto le richieste inviate a tali endpoint posso includere dati sensibili come le credenziali di database.This is the recommended setting, since the requests to these endpoints may carry sensitive information like database credentials. La configurazione predefinita consente qualunque accesso all'endpoint HTTPS.The default configuration allows all access to the HTTPS endpoint. Tale impostazione può essere limitata ulteriormente.This setting may be restricted further.

Modifica della configurazioneChanging the Configuration

Il gruppo di regole di controllo di accesso applicabili a un endpoint viene configurato nella sezione del file di configurazione del servizio.The group of access control rules that apply to and endpoint are configured in the section in the service configuration file.

<EndpointAcls>
  <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
  <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

Le regole incluse in un gruppo di controllo di accesso vengono configurate in una sezione del file di configurazione del servizio.The rules in an access control group are configured in a section of the service configuration file.

Il formato è illustrato nella documentazione relativa agli elenchi di controllo di accesso di rete.The format is explained in Network Access Control Lists documentation. Ad esempio, per consentire l'accesso all'endpoint HTTPS solo per gli indirizzi IP compresi nell'intervallo da 100.100.0.0 a 100.100.255.255, le regole saranno simili alle seguenti:For example, to allow only IPs in the range 100.100.0.0 to 100.100.255.255 to access the HTTPS endpoint, the rules would look like this:

<AccessControl name="Retricted">
  <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
  <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
<EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />

Prevenzione di attacchi Denial of ServiceDenial of service prevention

Per rilevare e impedire attacchi Denial of Service sono supportati due diversi meccanismi:There are two different mechanisms supported to detect and prevent Denial of Service attacks:

  • Limitare il numero di richieste simultanee per host remoto (opzione disattivata per impostazione predefinita).Restrict number of concurrent requests per remote host (off by default)
  • Limitare la frequenza di accesso per host remoto (opzione attivata per impostazione predefinita).Restrict rate of access per remote host (on by default)

Questi meccanismi si basano sulle funzionalità illustrate più estesamente nella documentazione relativa alla sicurezza degli IP dinamici in IIS.These are based on the features further documented in Dynamic IP Security in IIS. Quando si modifica questa configurazione, prestare attenzione ai seguenti fattori:When changing this configuration beware of the following factors:

  • Comportamento del proxy e dei dispositivi NAT (Network Address Translation)rispetto alle informazioni sull'host remoto.The behavior of proxies and Network Address Translation devices over the remote host information
  • Viene considerata ogni richiesta a qualsiasi risorsa nel ruolo Web (ad esempio, caricamento di script, immagini e così via).Each request to any resource in the web role is considered (e.g. loading scripts, images, etc)

Limitazione del numero di accessi simultaneiRestricting number of concurrent accesses

Le impostazioni che configurano questo comportamento sono le seguenti:The settings that configure this behavior are:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

Impostare DynamicIpRestrictionDenyByConcurrentRequests su true per abilitare questa protezione.Change DynamicIpRestrictionDenyByConcurrentRequests to true to enable this protection.

Limitazione della frequenza di accessoRestricting rate of access

Le impostazioni che configurano questo comportamento sono le seguenti:The settings that configure this behavior are:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

Configurazione della risposta a una richiesta negataConfiguring the response to a denied request

La seguente impostazione configura la risposta a una richiesta negata:The following setting configures the response to a denied request:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

Per altri valori supportati, vedere la documentazione relativa alla sicurezza degli IP dinamici in IIS.Refer to the documentation for Dynamic IP Security in IIS for other supported values.

Operazioni per la configurazione dei certificati di servizioOperations for configuring service certificates

Questo argomento è solo per riferimento.This topic is for reference only. Attenersi alla procedura di configurazione riportata in:Please follow the configuration steps outlined in:

  • Configurare il certificato SSL.Configure the SSL certificate
  • Configurare i certificati client.Configure client certificates

Creare un certificato autofirmatoCreate a self-signed certificate

Eseguire:Execute:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha1 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

Per personalizzare:To customize:

  • -n con l'URL del servizio.-n with the service URL. Sono supportati caratteri jolly ("CN=.cloudapp.net") e nomi alternativi ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net").Wildcards ("CN=.cloudapp.net") and alternative names ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net") are supported.
  • -e con la data di scadenza del certificato creare una password complessa e specificarla quando richiesto.-e with the certificate expiration date Create a strong password and specify it when prompted.

Creare un file PFX per il certificato SSL autofirmatoCreate PFX file for self-signed SSL certificate

Eseguire:Execute:

    pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

Immettere la password e quindi esportare il certificato con queste opzioni:Enter password and then export certificate with these options:

  • Sì, esporta la chiave privataYes, export the private key
  • Esporta tutte le proprietà esteseExport all extended properties

Esportare il certificato SSL dall'archivio certificatiExport SSL certificate from certificate store

  • Trovare il certificato.Find certificate
  • Fare clic su Azioni -> Tutte le attività -> Esporta.Click Actions -> All tasks -> Export…
  • Esportare il certificato in un file PFX con queste opzioni:Export certificate into a .PFX file with these options:
    • Sì, esporta la chiave privataYes, export the private key
    • Se possibile, includere tutti i certificati nel percorso della certificazione *Esporta tutte le proprietà esteseInclude all certificates in the certification path if possible *Export all extended properties

Caricare il certificato SSL nel servizio cloudUpload SSL certificate to cloud service

Caricare il certificato con il file PFX esistente o generato con la coppia di chiavi SSL:Upload certificate with the existing or generated .PFX file with the SSL key pair:

  • Immettere la password che protegge le informazioni sulla chiave privata.Enter the password protecting the private key information

Aggiornare il certificato SSL nel file di configurazione del servizioUpdate SSL certificate in service configuration file

Aggiornare il valore di identificazione personale della seguente impostazione nel file di configurazione del servizio con l'identificazione personale del certificato caricato nel servizio cloud:Update the thumbprint value of the following setting in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

Importare l'Autorità di certificazione SSLImport SSL certification authority

Seguire questa procedura in tutti gli account o i computer che comunicheranno con il servizio:Follow these steps in all account/machine that will communicate with the service:

  • Fare doppio clic sul file con estensione CER in Esplora risorse.Double-click the .CER file in Windows Explorer
  • Nella finestra di dialogo Certificato fare clic su Installa certificato.In the Certificate dialog, click Install Certificate…
  • Importare il certificato nell'archivio delle Autorità di certificazione radice disponibili nell'elenco locale.Import certificate into the Trusted Root Certification Authorities store

Disabilitare l'autenticazione basata su certificati clientTurn off client certificate-based authentication

È supportata solo autenticazione basata su certificati client. Se viene disabilitata, consentirà l'accesso pubblico agli endpoint del servizio, a meno che siano implementati altri meccanismi (ad esempio, Rete virtuale di Microsoft Azure).Only client certificate-based authentication is supported and disabling it will allow for public access to the service endpoints, unless other mechanisms are in place (e.g. Microsoft Azure Virtual Network).

Per disabilitare la funzionalità, modificare queste impostazioni specificando false nel file di configurazione del servizio:Change these settings to false in the service configuration file to turn the feature off:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

Copiare quindi la stessa identificazione personale del certificato SSL nell'impostazione del certificato della CA:Then, copy the same thumbprint as the SSL certificate in the CA certificate setting:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Creare un'autorità di certificazione autofirmataCreate a self-signed certification authority

Per creare un certificato autofirmato che funga da autorità di certificazione, seguire questa procedura:Execute the following steps to create a self-signed certificate to act as a Certification Authority:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha1 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

Per personalizzarloTo customize it

  • -e con la data di scadenza del certificato.-e with the certification expiration date

Trovare la chiave pubblica CAFind CA public key

Tutti i certificati client devono essere rilasciati da un'autorità di certificazione considerata attendibile dal servizio.All client certificates must have been issued by a Certification Authority trusted by the service. Trovare la chiave pubblica all'autorità di certificazione che ha rilasciato i certificati client da usare per l'autenticazione per caricarla nel servizio cloud.Find the public key to the Certification Authority that issued the client certificates that are going to be used for authentication in order to upload it to the cloud service.

Se il file con la chiave pubblica non è disponibile, esportarlo dall'archivio certificati:If the file with the public key is not available, export it from the certificate store:

  • Trovare il certificato.Find certificate
    • Cercare un certificato client rilasciato dalla stessa autorità di certificazione.Search for a client certificate issued by the same Certification Authority
  • Fare doppio clic sul certificato.Double-click the certificate.
  • Selezionare la scheda Percorso certificazione nella finestra di dialogo Certificato.Select the Certification Path tab in the Certificate dialog.
  • Fare doppio clic sulla voce relativa alla CA inclusa nel percorso.Double-click the CA entry in the path.
  • Prendere nota delle proprietà del certificato.Take notes of the certificate properties.
  • Chiudere la finestra di dialogo Certificato .Close the Certificate dialog.
  • Trovare il certificato.Find certificate
    • Cercare la CA annotata in precedenza.Search for the CA noted above.
  • Fare clic su Azioni -> Tutte le attività -> Esporta.Click Actions -> All tasks -> Export…
  • Esportare il certificato in un file con estensione CER con queste opzioni:Export certificate into a .CER with these options:
    • No, non esportare la chiave privataNo, do not export the private key
    • Se possibile, includi tutti i certificati nel percorso certificazione.Include all certificates in the certification path if possible.
    • Esportare tutte le proprietà estese.Export all extended properties.

Caricare un certificato della CA nel servizio cloudUpload CA certificate to cloud service

Caricare il certificato con il file PFX esistente o generato con la coppia di chiavi SSL.Upload certificate with the existing or generated .CER file with the CA public key.

Aggiornare il certificato della CA nel file di configurazione del servizioUpdate CA certificate in service configuration file

Aggiornare il valore di identificazione personale della seguente impostazione nel file di configurazione del servizio con l'identificazione personale del certificato caricato nel servizio cloud:Update the thumbprint value of the following setting in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Aggiornare il valore della seguente impostazione con la stessa identificazione personale:Update the value of the following setting with the same thumbprint:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

Rilasciare certificati clientIssue client certificates

Ogni utente con l'autorizzazione di accesso al servizio deve avere un certificato client rilasciato per proprio uso esclusivo e scegliere una propria password complessa per proteggere la chiave privata.Each individual authorized to access the service should have a client certificate issued for his/hers exclusive use and should choose his/hers own strong password to protect its private key.

Seguire questa procedura nello stesso computer in cui è stato generato e archiviato il certificato CA autofirmato:The following steps must be executed in the same machine where the self-signed CA certificate was generated and stored:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha1 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

PersonalizzazioneCustomizing:

  • -n con un ID per il client che verrà autenticato con il certificato.-n with an ID for to the client that will be authenticated with this certificate
  • -e con la data di scadenza del certificato.-e with the certificate expiration date
  • MyID.pvk e MyID.cer con nomi file univoci per il certificato clientMyID.pvk and MyID.cer with unique filenames for this client certificate

Questo comando richiederà la creazione di una password che verrà quindi usata una sola volta.This command will prompt for a password to be created and then used once. Usare una password complessa.Use a strong password.

Creare file PFX per i certificati clientCreate PFX files for client certificates

Per ogni certificato client generato, eseguire:For each generated client certificate, execute:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

PersonalizzazioneCustomizing:

MyID.pvk and MyID.cer with the filename for the client certificate

Immettere la password e quindi esportare il certificato con queste opzioni:Enter password and then export certificate with these options:

  • Sì, esporta la chiave privataYes, export the private key
  • Esporta tutte le proprietà esteseExport all extended properties
  • L'utente a cui viene rilasciato il certificato deve scegliere la password di esportazione.The individual to whom this certificate is being issued should choose the export password

Importare il certificato clientImport client certificate

Ogni utente per il quale è stato rilasciato un certificato client dovrà importare la coppia di chiavi nei computer che userà per comunicare con il servizio:Each individual for whom a client certificate has been issued should import the key pair in the machines he/she will use to communicate with the service:

  • Fare doppio clic sul file con estensione CER in Esplora risorse.Double-click the .PFX file in Windows Explorer
  • Importare il certificato nell'archivio personale con selezionata almeno questa opzione:Import certificate into the Personal store with at least this option:
    • Includi tutte le proprietà estese.Include all extended properties checked

Copiare le identificazioni personali del certificato clientCopy client certificate thumbprints

Ogni utente per il quale è stato rilasciato un certificato client dovrà seguire questa procedura per ottenere l'identificazione personale del proprio certificato, che verrà aggiunto al file di configurazione del servizio:Each individual for whom a client certificate has been issued must follow these steps in order to obtain the thumbprint of his/hers certificate which will be added to the service configuration file:

  • Eseguire certmgr.exe.Run certmgr.exe
  • Selezionare la scheda Personale.Select the Personal tab
  • Fare doppio clic sul certificato client da usare per l'autenticazione.Double-click the client certificate to be used for authentication
  • Nella finestra di dialogo Certificato visualizzata selezionare la scheda Dettagli.In the Certificate dialog that opens, select the Details tab
  • Assicurarsi che in Mostra sia visualizzato Tutti.Make sure Show is displaying All
  • Nell'elenco selezionare il campo denominato Identificazione personale.Select the field named Thumbprint in the list
  • Copiare il valore dell'identificazione personale ** Eliminare i caratteri Unicode non visibili davanti alla prima cifra ** Eliminare tutti gli spaziCopy the value of the thumbprint ** Delete non-visible Unicode characters in front of the first digit ** Delete all spaces

Configurare i client consentiti nel file di configurazione del servizioConfigure Allowed clients in the service configuration file

Aggiornare il valore della seguente impostazione nel file di configurazione del servizio con un elenco delimitato da virgole delle identificazioni personali dei certificati client a cui è consentito accedere al servizio:Update the value of the following setting in the service configuration file with a comma-separated list of the thumbprints of the client certificates allowed access to the service:

<Setting name="AllowedClientCertificateThumbprints" value="" />

Configurare il controllo della revoca del certificato clientConfigure client certificate revocation check

Per impostazione predefinita,lo stato della revoca del certificato non viene verificato con l'Autorità di certificazione.The default setting does not check with the Certification Authority for client certificate revocation status. Per abilitare i controlli, se l'Autorità di certificazione che ha rilasciato i certificati client li supporta, modificare la seguente impostazione con uno dei valori definiti nell'enumerazione X509RevocationMode:To turn on the checks, if the Certification Authority which issued the client certificates supports such checks, change the following setting with one of the values defined in the X509RevocationMode Enumeration:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

Creare un file PFX per certificati di crittografia autofirmatiCreate PFX file for self-signed encryption certificates

Per un certificato di crittografia eseguire:For an encryption certificate, execute:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

PersonalizzazioneCustomizing:

MyID.pvk and MyID.cer with the filename for the encryption certificate

Immettere la password e quindi esportare il certificato con queste opzioni:Enter password and then export certificate with these options:

  • Sì, esporta la chiave privataYes, export the private key
  • Esporta tutte le proprietà esteseExport all extended properties
  • Quando si carica il certificato nel servizio cloud, sarà necessaria la password.You will need the password when uploading the certificate to the cloud service.

Esportare il certificato di crittografia dall'archivio certificatiExport encryption certificate from certificate store

  • Trovare il certificato.Find certificate
  • Fare clic su Azioni -> Tutte le attività -> Esporta.Click Actions -> All tasks -> Export…
  • Esportare il certificato in un file PFX con queste opzioni:Export certificate into a .PFX file with these options:
    • Sì, esporta la chiave privataYes, export the private key
    • Se possibile, includi tutti i certificati nel percorso certificazioneInclude all certificates in the certification path if possible
  • Esporta tutte le proprietà esteseExport all extended properties

Caricare il certificato di crittografia nel servizio cloudUpload encryption certificate to cloud service

Caricare il certificato con il file PFX esistente o generato con la coppia di chiavi di crittografia:Upload certificate with the existing or generated .PFX file with the encryption key pair:

  • Immettere la password che protegge le informazioni sulla chiave privata.Enter the password protecting the private key information

Aggiornare il certificato di crittografia nel file di configurazione del servizioUpdate encryption certificate in service configuration file

Aggiornare il valore di identificazione personale della seguente impostazione nel file di configurazione del servizio con l'identificazione personale del certificato caricato nel servizio cloud:Update the thumbprint value of the following settings in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

Operazioni comuni relative ai certificatiCommon certificate operations

  • Configurare il certificato SSL.Configure the SSL certificate
  • Configurare i certificati client.Configure client certificates

Trovare il certificato.Find certificate

A tale scopo, seguire questa procedura:Follow these steps:

  1. Eseguire mmc.exe.Run mmc.exe.
  2. File -> Aggiungi/Rimuovi snap-in.File -> Add/Remove Snap-in…
  3. Selezionare Certificati.Select Certificates.
  4. Fare clic su Aggiungi.Click Add.
  5. Scegliere il percorso dell'archivio certificati.Choose the certificate store location.
  6. Fare clic su Finish.Click Finish.
  7. Fare clic su OK.Click OK.
  8. Espandere Certificati.Expand Certificates.
  9. Espandere il nodo dell'archivio certificati.Expand the certificate store node.
  10. Espandere il nodo figlio Certificato.Expand the Certificate child node.
  11. Selezionare un certificato nell'elenco.Select a certificate in the list.

Esportare il certificatoExport certificate

In Esportazione guidata certificati:In the Certificate Export Wizard:

  1. Fare clic su Avanti.Click Next.
  2. Selezionare e quindi Esporta la chiave privata.Select Yes, then Export the private key.
  3. Fare clic su Avanti.Click Next.
  4. Selezionare il formato del file di output desiderato.Select the desired output file format.
  5. Controllare le opzioni desiderate.Check the desired options.
  6. Selezionare Password.Check Password.
  7. Immettere una password complessa e confermarla.Enter a strong password and confirm it.
  8. Fare clic su Avanti.Click Next.
  9. Digitare o cercare un nome file in cui archiviare il certificato (usare un'estensione PFX).Type or browse a filename where to store the certificate (use a .PFX extension).
  10. Fare clic su Avanti.Click Next.
  11. Fare clic su Finish.Click Finish.
  12. Fare clic su OK.Click OK.

Importare il certificatoImport certificate

In Esportazione guidata certificati:In the Certificate Import Wizard:

  1. Selezionare il percorso dell'archivio.Select the store location.

    • Selezionare Utente corrente se solo i processi eseguiti dall'utente corrente accederanno al servizio.Select Current User if only processes running under current user will access the service
    • Selezionare Computer locale se altri processi nel computer accederanno al servizio.Select Local Machine if other processes in this computer will access the service
  2. Fare clic su Avanti.Click Next.
  3. Se l'importazione viene effettuata da un file, verificare il percorso del file.If importing from a file, confirm the file path.
  4. Se si importa un file PFX:If importing a .PFX file:
    1. Immettere la password che protegge la chiave privata.Enter the password protecting the private key
    2. Selezionare le opzioni di importazione.Select import options
  5. Selezionare "Colloca" tutti i certificati nel seguente archivio.Select "Place" certificates in the following store
  6. Fare clic su Sfoglia.Click Browse.
  7. Selezionare l'archivio da usare.Select the desired store.
  8. Fare clic su Finish.Click Finish.

    • Se è stato scelto l'archivio dell'autorità di certificazione radice attendibile, fare clic su .If the Trusted Root Certification Authority store was chosen, click Yes.
  9. Fare clic su OK in tutte le finestre di dialogo.Click OK on all dialog windows.

Caricamento del certificatoUpload certificate

Nel portale di AzureIn the Azure Portal

  1. Selezionare Servizi cloud.Select Cloud Services.
  2. Selezionare il servizio cloud.Select the cloud service.
  3. Nel menu superiore fare clic su Certificati.On the top menu, click Certificates.
  4. Nella barra inferiore fare clic su Carica.On the bottom bar, click Upload.
  5. Selezionare il file del certificato.Select the certificate file.
  6. Se è un file con estensione PFX, immettere la password per la chiave privata.If it is a .PFX file, enter the password for the private key.
  7. Una volta completata l'operazione, copiare l'identificazione personale del certificato dalla nuova voce nell'elenco.Once completed, copy the certificate thumbprint from the new entry in the list.

Altre considerazioni sulla sicurezzaOther security considerations

Le impostazioni SSL descritte in questo documento crittografano le comunicazioni tra il servizio e i relativi client quando si usa l'endpoint HTTPS.The SSL settings described in this document encrypt communication between the service and its clients when the HTTPS endpoint is used. Questo aspetto è importante perché nella comunicazione sono contenute le credenziali per l'accesso al database e potenzialmente altre informazioni riservate.This is important since credentials for database access and potentially other sensitive information are contained in the communication. Si noti che il servizio mantiene lo stato interno, incluse le credenziali, nelle relative tabelle interne del database SQL di Microsoft Azure fornite per l'archiviazione dei metadati nella sottoscrizione di Microsoft Azure.Note, however, that the service persists internal status, including credentials, in its internal tables in the Microsoft Azure SQL database that you have provided for metadata storage in your Microsoft Azure subscription. Tale database è stato definito come parte della seguente impostazione nel file di configurazione del servizio (file CSCFG):That database was defined as part of the following setting in your service configuration file (.CSCFG file):

<Setting name="ElasticScaleMetadata" value="Server=…" />

Le credenziali archiviate in questo database vengono crittografate.Credentials stored in this database are encrypted. Come procedura consigliata è opportuno verificare tuttavia che i ruoli Web e di lavoro delle distribuzioni del servizio siano sempre aggiornati e protetti, in quanto dispongono dell'accesso al database di metadati e al certificato usati per la crittografia e decrittografia delle credenziali archiviate.However, as a best practice, ensure that both web and worker roles of your service deployments are kept up to date and secure as they both have access to the metadata database and the certificate used for encryption and decryption of stored credentials.

Risorse aggiuntiveAdditional resources

Se non si usano gli strumenti di database elastici,Not using elastic database tools yet? vedere la Guida introduttiva.Check out our Getting Started Guide. Se ci sono domande, è possibile visitare il forum sul database SQL mentre è possibile inserire le richieste di nuove funzionalità nel forum relativo a commenti e suggerimenti sul database SQL.For questions, please reach out to us on the SQL Database forum and for feature requests, please add them to the SQL Database feedback forum.