Общие сведения о сертификатах для Облачных служб Azure (классических)

  • Статья

Важно!

Облачные службы (классическая версия) объявлены устаревшими для новых клиентов. Их поддержка будет полностью прекращена 31 августа 2024 года. Для новых развертываний следует использовать Облачные службы Azure с расширенной поддержкой . Это новая модель развертывания на основе Azure Resource Manager.

Сертификаты используются в Azure для облачных служб (сертификаты службы), а также для аутентификации с помощью службы управления API (сертификаты управления). В этой статье приводится общий обзор этих двух типов сертификатов, а также описывается процесс их создания и развертывания в Azure.

Сертификаты, используемые в Azure, являются сертификатами x.509 v3; они могут быть заверены другим доверенным сертификатом или быть самозаверяющими. Поскольку самозаверяющий сертификат подписывает его автор, он не считается надежным по умолчанию. Большинство браузеров может игнорировать эту проблему. Самозаверяющие сертификаты должны использоваться только при разработке и тестировании облачных служб.

Сертификаты, используемые Azure, могут содержать открытый ключ. Сертификаты имеют отпечаток, служащий для их однозначной идентификации. Этот отпечаток включен в файл конфигурации Azure для определения сертификата, который будет использоваться облачной службой.

Примечание

Облачные службы Azure не принимают зашифрованный сертификат AES256-SHA256.

Что такое сертификаты службы

Сертификаты службы присоединяются к облачным службам, обеспечивая безопасное взаимодействие со службой. Например, при развертывании веб-роли вам нужно указать сертификат, который может выполнять проверку подлинности доступной конечной точки HTTPS. Сертификаты службы, определенные в определении службы, автоматически развертываются в виртуальной машине с запущенным экземпляром роли.

Сертификаты службы можно передать в Azure с помощью портала Azure или классической модели развертывания. Эти сертификаты связаны с конкретной облачной службой. Они назначаются для развертывания в файле определения службы.

Сертификатами службы можно управлять отдельно от служб. Это могут делать разные пользователи. Например, разработчик может передать пакет служб, который ссылается на сертификат, ранее загруженный ИТ-менеджером в Azure. ИТ-менеджер может управлять сертификатом, а также продлевать его (изменяя конфигурацию службы) без необходимости загрузки нового пакета службы. Такое обновление возможно, поскольку логическое имя сертификата, а также имя хранилища и расположение сертификата указаны в файле определения службы, а отпечаток сертификата указан в файле конфигурации службы. Чтобы продлить сертификат, нужно просто загрузить новый сертификат и изменить значение отпечатка в файле конфигурации службы.

Примечание

В статье Проблемы настройки и управления для Облачных служб Azure (классическая модель): часто задаваемые вопросы содержатся полезные сведения о сертификатах.

Что такое сертификаты управления

Сертификаты управления позволяют выполнять проверку подлинности с помощью классической модели развертывания. Многие программы и средства (например, Visual Studio или пакет SDK Azure) будут использовать эти сертификаты для автоматизации настройки и развертывания разных служб Azure. Фактически они не связаны с облачными службами.

Предупреждение

Будьте осторожны! Эти типы сертификатов позволяют каждому, кто прошел проверку подлинности, управлять подпиской, с которой они связаны.

Ограничения

Существует ограничение в 100 сертификатов управления на одну подписку. Существует ограничение в 100 сертификатов управления для всех подписок в рамках конкретного идентификатора пользователя администратора службы. Если идентификатор пользователя администратора учетной записи уже используется для добавления 100 сертификатов управления и есть потребность в большем количестве сертификатов, можно добавить соадминистратора для добавления дополнительных сертификатов.

Кроме того, сертификаты управления не могут использоваться с подписками CSP, так как подписки CSP поддерживают только модель развертывания с помощью Azure Resource Manager, а сертификаты управления используют классическую модель развертывания. Для получения дополнительных сведений о вариантах действий для подписок CSP см. разделы Модель развертывания с помощью Azure Resource Manager и классическая модель развертывания и Общие сведения о проверке подлинности с помощью пакета SDK Azure для .NET.

Создание самозаверяющего сертификата

Можно использовать любое доступное средство для создания самозаверяющего сертификата при условии, что оно соответствует следующим параметрам.

  • Используется сертификат X.509.

  • Содержит открытый ключ.

  • Создано для обмена ключами (PFX-файл).

  • Имя субъекта должно совпадать с именем домена, которое используется для обращения к облачной службе.

    Вы не можете приобрести TLS/SSL-сертификат для домена cloudapp.net (или для любого другого домена, относящегося к Azure), поэтому имя субъекта сертификата должно совпадать с именем личного домена, который используется для доступа к приложению. Например, contoso.net, а не contoso.cloudapp.net.

  • Минимум 2048-разрядное шифрование.

  • Только сертификат службы: клиентский сертификат должен находиться в личном хранилище сертификатов.

Существует два простых способа создания сертификатов в Windows: с помощью служебной программы makecert.exe или службы IIS.

Makecert.exe

Эта программа устарела и в данном документе не описывается. Дополнительные сведения см. в этой статье в библиотеке MSDN.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Примечание

Если вы хотите использовать сертификат, указав IP-адрес, а не домен, задайте этот IP-адрес в параметре -DnsName.

Если вы хотите использовать этот сертификат на портале управления, экспортируйте его в CER-файл .

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

IIS

В Интернете вы найдете множество информации о том, как это сделать с помощью IIS. этой странице .

Linux

В этой статье рассматривается создание сертификатов с использованием SSH.

Дальнейшие действия

Передача сертификата службы на портал Azure.

Передайте на портал Azure сертификат API управления.