Översikt över certifikat för Azure Cloud ServicesCertificates overview for Azure Cloud Services

Certifikat används i Azure för moln tjänster (tjänst certifikat) och för autentisering med hanterings-API: et (hanterings certifikat).Certificates are used in Azure for cloud services (service certificates) and for authenticating with the management API (management certificates). Det här avsnittet innehåller en allmän översikt över båda certifikat typerna, hur du skapar och distribuerar dem till Azure.This topic gives a general overview of both certificate types, how to create and deploy them to Azure.

Certifikat som används i Azure är x. 509 v3-certifikat och kan signeras av ett annat betrott certifikat eller så kan de vara självsignerade.Certificates used in Azure are x.509 v3 certificates and can be signed by another trusted certificate or they can be self-signed. Ett självsignerat certifikat signeras av en egen skapare, vilket innebär att det inte är betrott som standard.A self-signed certificate is signed by its own creator, therefore it is not trusted by default. De flesta webbläsare kan ignorera det här problemet.Most browsers can ignore this problem. Du bör endast använda självsignerade certifikat när du utvecklar och testar moln tjänsterna.You should only use self-signed certificates when developing and testing your cloud services.

Certifikat som används av Azure kan innehålla en privat eller offentlig nyckel.Certificates used by Azure can contain a private or a public key. Certifikat har ett tumavtryck som ger ett sätt att identifiera dem på ett entydigt sätt.Certificates have a thumbprint that provides a means to identify them in an unambiguous way. Detta tumavtryck används i Azure- konfigurationsfilen för att identifiera vilket certifikat som en moln tjänst ska använda.This thumbprint is used in the Azure configuration file to identify which certificate a cloud service should use.

Anteckning

Azure Cloud Services accepterar inte AES256-SHA256-krypterat certifikat.Azure Cloud Services does not accept AES256-SHA256 encrypted certificate.

Vad är tjänst certifikat?What are service certificates?

Tjänst certifikat är kopplade till moln tjänster och möjliggör säker kommunikation till och från tjänsten.Service certificates are attached to cloud services and enable secure communication to and from the service. Om du till exempel har distribuerat en webb roll vill du ange ett certifikat som kan autentisera en exponerad HTTPS-slutpunkt.For example, if you deployed a web role, you would want to supply a certificate that can authenticate an exposed HTTPS endpoint. Tjänst certifikat, som definieras i din tjänst definition, distribueras automatiskt till den virtuella datorn som kör en instans av din roll.Service certificates, defined in your service definition, are automatically deployed to the virtual machine that is running an instance of your role.

Du kan ladda upp tjänst certifikat till Azure antingen med hjälp av Azure Portal eller med hjälp av den klassiska distributions modellen.You can upload service certificates to Azure either using the Azure portal or by using the classic deployment model. Tjänst certifikaten är associerade med en speciell moln tjänst.Service certificates are associated with a specific cloud service. De tilldelas en distribution i tjänst definitions filen.They are assigned to a deployment in the service definition file.

Tjänst certifikat kan hanteras separat från dina tjänster och kan hanteras av olika individer.Service certificates can be managed separately from your services, and may be managed by different individuals. En utvecklare kan till exempel Ladda upp ett tjänst paket som refererar till ett certifikat som en IT-chef tidigare har laddat upp till Azure.For example, a developer may upload a service package that refers to a certificate that an IT manager has previously uploaded to Azure. En IT-chef kan hantera och förnya certifikatet (ändra konfigurationen för tjänsten) utan att behöva ladda upp ett nytt tjänst paket.An IT manager can manage and renew that certificate (changing the configuration of the service) without needing to upload a new service package. Uppdatering utan ett nytt tjänst paket är möjligt eftersom det logiska namnet, lagrings namnet och platsen för certifikatet finns i tjänst definitions filen och när tumavtrycket för certifikatet anges i tjänst konfigurations filen.Updating without a new service package is possible because the logical name, store name, and location of the certificate is in the service definition file and while the certificate thumbprint is specified in the service configuration file. Om du vill uppdatera certifikatet är det bara nödvändigt att ladda upp ett nytt certifikat och ändra tumavtryck-värdet i tjänst konfigurations filen.To update the certificate, it's only necessary to upload a new certificate and change the thumbprint value in the service configuration file.

Anteckning

I artikeln Cloud Services vanliga frågor och svar om konfiguration och hantering finns viss värdefull information om certifikat.The Cloud Services FAQ - Configuration and Management article has some helpful information about certificates.

Vad är hanterings certifikat?What are management certificates?

Med hanterings certifikat kan du autentisera med den klassiska distributions modellen.Management certificates allow you to authenticate with the classic deployment model. Många program och verktyg (till exempel Visual Studio eller Azure SDK) använder dessa certifikat för att automatisera konfigurationen och distributionen av olika Azure-tjänster.Many programs and tools (such as Visual Studio or the Azure SDK) use these certificates to automate configuration and deployment of various Azure services. Dessa är inte relaterade till moln tjänster.These are not really related to cloud services.

Varning

Var försiktig!Be careful! Med dessa typer av certifikat kan alla som autentiserar med dem hantera den prenumeration de är associerade med.These types of certificates allow anyone who authenticates with them to manage the subscription they are associated with.

BegränsningarLimitations

Det finns en gräns på 100 hanterings certifikat per prenumeration.There is a limit of 100 management certificates per subscription. Det finns också en gräns på 100 hanterings certifikat för alla prenumerationer under en angiven tjänst administratörs användar-ID.There is also a limit of 100 management certificates for all subscriptions under a specific service administrator’s user ID. Om användar-ID: t för konto administratören redan har använts för att lägga till 100-hanterings certifikat och det behövs mer certifikat kan du lägga till en delad administratör för att lägga till ytterligare certifikat.If the user ID for the account administrator has already been used to add 100 management certificates and there is a need for more certificates, you can add a co-administrator to add the additional certificates.

Skapa ett nytt självsignerat certifikatCreate a new self-signed certificate

Du kan använda ett verktyg som är tillgängligt för att skapa ett självsignerat certifikat så länge som de följer dessa inställningar:You can use any tool available to create a self-signed certificate as long as they adhere to these settings:

  • Ett X. 509-certifikat.An X.509 certificate.

  • Innehåller en privat nyckel.Contains a private key.

  • Skapat för nyckel utbyte (. pfx-fil).Created for key exchange (.pfx file).

  • Ämnes namnet måste matcha den domän som används för att få åtkomst till moln tjänsten.Subject name must match the domain used to access the cloud service.

    Det går inte att skaffa ett SSL-certifikat för cloudapp.net (eller för någon Azure-relaterad) domän. certifikatets ämnes namn måste överensstämma med det anpassade domän namnet som används för att få åtkomst till ditt program.You cannot acquire an SSL certificate for the cloudapp.net (or for any Azure-related) domain; the certificate's subject name must match the custom domain name used to access your application. Till exempel contoso.net, inte contoso.cloudapp.net.For example, contoso.net, not contoso.cloudapp.net.

  • Minst 2048-bitars kryptering.Minimum of 2048-bit encryption.

  • Endast tjänst certifikat: Klient sidans certifikat måste finnas i det personliga certifikat arkivet.Service Certificate Only: Client-side certificate must reside in the Personal certificate store.

Det finns två enkla sätt att skapa ett certifikat i Windows, med makecert.exe verktyget eller IIS.There are two easy ways to create a certificate on Windows, with the makecert.exe utility, or IIS.

Makecert.exeMakecert.exe

Det här verktyget är föråldrat och är inte längre dokumenterat här.This utility has been deprecated and is no longer documented here. Mer information finns i den här MSDN-artikeln.For more information, see this MSDN article.

PowerShellPowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Anteckning

Använd IP-adressen i parametern-DnsName om du vill använda certifikatet med en IP-adress i stället för en domän.If you want to use the certificate with an IP address instead of a domain, use the IP address in the -DnsName parameter.

Om du vill använda det här certifikatet med hanterings portalenexporterar du det till en CER -fil:If you want to use this certificate with the management portal, export it to a .cer file:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)Internet Information Services (IIS)

Det finns många sidor på Internet som beskriver hur du gör detta med IIS.There are many pages on the internet that cover how to do this with IIS. Här är en bra jag hittade att jag förklarar det bra.Here is a great one I found that I think explains it well.

LinuxLinux

Den här artikeln beskriver hur du skapar certifikat med SSH.This article describes how to create certificates with SSH.

Nästa stegNext steps

Ladda upp tjänst certifikatet till Azure Portal.Upload your service certificate to the Azure portal.

Överför ett hanterings-API-certifikat till Azure Portal.Upload a management API certificate to the Azure portal.