Overzicht van certificaten voor Azure Cloud Services (classic)

  • Artikel

Belangrijk

Cloud Services (klassiek) is nu afgeschaft voor nieuwe klanten en wordt op 31 augustus 2024 voor alle klanten buiten gebruik gesteld. Nieuwe implementaties moeten gebruikmaken van het nieuwe implementatiemodel op basis van Azure Resource Manager Azure Cloud Services (uitgebreide ondersteuning).

Certificaten worden in Azure gebruikt voor cloudservices (servicecertificaten) en voor verificatie met de beheer-API (beheercertificaten). In dit onderwerp vindt u een algemeen overzicht van beide certificaattypen en hoe u deze kunt maken en implementeren in Azure.

Certificaten die in Azure worden gebruikt, zijn x.509 v3-certificaten en kunnen worden ondertekend door een ander vertrouwd certificaat of ze kunnen zelfondertekend zijn. Een zelfondertekend certificaat is ondertekend door de eigen maker en wordt daarom niet standaard vertrouwd. In de meeste browsers kan dit probleem worden genegeerd. Gebruik alleen zelfondertekende certificaten bij het ontwikkelen en testen van uw cloudservices.

Certificaten die door Azure worden gebruikt, kunnen een openbare sleutel bevatten. Certificaten hebben een vingerafdruk die een middel biedt om ze op een ondubbelzinnige manier te identificeren. Deze vingerafdruk wordt gebruikt in het Azure-configuratiebestand om aan te geven welk certificaat een cloudservice moet gebruiken.

Notitie

Azure Cloud Services accepteert geen met AES256-SHA256 versleuteld certificaat.

Wat zijn servicecertificaten?

Servicecertificaten zijn gekoppeld aan cloudservices en bieden beveiligde communicatie van en naar de service. Als u bijvoorbeeld een webrol hebt geïmplementeerd, wilt u een certificaat opgeven waarmee een beschikbaar HTTPS-eindpunt kan worden geverifieerd. Servicecertificaten, gedefinieerd in uw servicedefinitie, worden automatisch geïmplementeerd op de virtuele machine waarop een exemplaar van uw rol wordt uitgevoerd.

U kunt servicecertificaten uploaden naar Azure met behulp van Azure Portal of het klassieke implementatiemodel. Servicecertificaten zijn gekoppeld aan een specifieke cloudservice. De certificaten worden in het servicedefinitiebestand toegewezen aan een implementatie.

Servicecertificaten kunnen afzonderlijk van uw services worden beheerd en kunnen door verschillende personen worden beheerd. Een ontwikkelaar kan bijvoorbeeld een servicepakket uploaden dat verwijst naar een certificaat dat een IT-manager eerder heeft geüpload naar Azure. Een IT-beheerder kan dat certificaat beheren en vernieuwen (de configuratie van de service wijzigen) zonder dat er een nieuw servicepakket hoeft te worden geüpload. Bijwerken zonder een nieuw servicepakket is mogelijk omdat de logische naam, winkelnaam en locatie van het certificaat zich in het servicedefinitiebestand bevinden en terwijl de vingerafdruk van het certificaat is opgegeven in het serviceconfiguratiebestand. Als u het certificaat wilt bijwerken, hoeft u alleen een nieuw certificaat te uploaden en de waarde voor de vingerafdruk te wijzigen in het serviceconfiguratiebestand.

Notitie

Het artikel Veelgestelde vragen over Cloud Services - Configuratie en beheer bevat nuttige informatie over certificaten.

Wat zijn beheercertificaten?

Met beheercertificaten kunt u het klassieke implementatiemodel gebruiken voor verificatie. Voor veel programma's en hulpprogramma's (zoals Visual Studio of de Azure SDK) worden deze certificaten gebruikt om de configuratie en implementatie van verschillende Azure-services te automatiseren. Deze zijn niet echt gerelateerd aan cloudservices.

Waarschuwing

Wees voorzichtig! Met deze typen certificaten kan iedereen die zich bij hen verifieert, het abonnement beheren waaraan ze zijn gekoppeld.

Beperkingen

Er is een limiet van 100 beheercertificaten per abonnement. Er is ook een limiet van 100 beheercertificaten voor alle abonnementen onder de gebruikers-id van een specifieke servicebeheerder. Als de gebruikers-id voor de accountbeheerder al is gebruikt om 100 beheercertificaten toe te voegen en er meer certificaten nodig zijn, kunt u een medebeheerder toevoegen om de extra certificaten toe te voegen.

Bovendien kunnen beheercertificaten niet worden gebruikt met CSP-abonnementen, omdat CSP-abonnementen alleen ondersteuning bieden voor het Azure Resource Manager-implementatiemodel en beheercertificaten het klassieke implementatiemodel gebruiken. Raadpleeg Azure Resource Manager versus het klassieke implementatiemodel en Understanding Authentication met de Azure SDK voor .NET voor meer informatie over uw opties voor CSP-abonnementen.

Een nieuw zelfondertekend certificaat maken

U kunt elk hulpprogramma gebruiken dat beschikbaar is om een zelfondertekend certificaat te maken, zolang deze voldoen aan deze instellingen:

  • Een X.509-certificaat.

  • Bevat een openbare sleutel.

  • Gemaakt voor sleuteluitwisseling (PFX-bestand).

  • De onderwerpnaam moet overeenkomen met het domein dat wordt gebruikt voor toegang tot de cloudservice.

    U kunt geen TLS/SSL-certificaat verkrijgen voor het cloudapp.net (of voor een Azure-gerelateerd) domein; de onderwerpnaam van het certificaat moet overeenkomen met de aangepaste domeinnaam die wordt gebruikt voor toegang tot uw toepassing. Bijvoorbeeld contoso.net, niet contoso.cloudapp.net.

  • Minimaal 2048-bits versleuteling.

  • Alleen servicecertificaat: het certificaat aan de clientzijde moet zich in het persoonlijke certificaatarchief bevinden.

Er zijn twee eenvoudige manieren om een certificaat te maken in Windows, met het makecert.exe hulpprogramma of IIS.

Makecert.exe

Dit hulpprogramma is afgeschaft en wordt hier niet meer gedocumenteerd. Zie dit MSDN-artikel voor meer informatie.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Notitie

Als u het certificaat wilt gebruiken met een IP-adres in plaats van een domein, gebruikt u het IP-adres in de parameter -DnsName.

Als u dit certificaat wilt gebruiken met de beheerportal, exporteert u het naar een CER-bestand :

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

Er zijn veel pagina's op internet waarop wordt beschreven hoe u dit met IIS kunt doen. Hier is een geweldige die ik vond dat ik denk dat het goed verklaart.

Linux

In dit artikel wordt beschreven hoe u certificaten maakt met SSH.

Volgende stappen

Upload uw servicecertificaat naar de Azure Portal.

Upload een beheer-API-certificaat naar de Azure Portal.