Certifikatöversikt för Azure Cloud Services (klassisk)
Viktigt
Cloud Services (klassisk) är nu inaktuell för nya kunder och kommer att dras tillbaka den 31 augusti 2024 för alla kunder. Nya distributioner bör använda den nya Azure Resource Manager-baserade distributionsmodellen Azure Cloud Services (utökad support).
Certifikat används i Azure för molntjänster (tjänstcertifikat) och för autentisering med hanterings-API:et (hanteringscertifikat). Det här avsnittet ger en allmän översikt över båda certifikattyperna, hur du skapar och distribuerar dem till Azure.
Certifikat som används i Azure är x.509 v3-certifikat och kan signeras av ett annat betrott certifikat eller vara självsignerade. Ett självsignerat certifikat signeras av sin egen skapare, därför är det inte betrott som standard. De flesta webbläsare kan ignorera det här problemet. Du bör bara använda självsignerade certifikat när du utvecklar och testar dina molntjänster.
Certifikat som används av Azure kan innehålla en offentlig nyckel. Certifikat har ett tumavtryck som ger ett sätt att identifiera dem på ett entydigt sätt. Det här tumavtrycket används i Azure-konfigurationsfilen för att identifiera vilket certifikat en molntjänst ska använda.
Anteckning
Azure Cloud Services accepterar inte AES256-SHA256-krypterat certifikat.
Vad är tjänstcertifikat?
Tjänstcertifikat är kopplade till molntjänster och möjliggör säker kommunikation till och från tjänsten. Om du till exempel har distribuerat en webbroll vill du ange ett certifikat som kan autentisera en exponerad HTTPS-slutpunkt. Tjänstcertifikat, som definieras i tjänstdefinitionen, distribueras automatiskt till den virtuella dator som kör en instans av din roll.
Du kan antingen ladda upp tjänstcertifikat till Azure via Azure-portalen eller med hjälp av den klassiska distributionsmodellen. Tjänstcertifikaten är associerade med en viss molntjänst. De tilldelas en distribution i tjänstens definitionsfil.
Tjänstcertifikat kan hanteras separat från dina tjänster och kan hanteras av olika personer. En utvecklare kan till exempel ladda upp ett tjänstpaket som refererar till ett certifikat som en IT-chef tidigare har laddat upp till Azure. En IT-chef kan hantera och förnya certifikatet (ändra tjänstens konfiguration) utan att behöva ladda upp ett nytt tjänstpaket. Det går att uppdatera utan ett nytt tjänstpaket eftersom det logiska namnet, lagringsnamnet och platsen för certifikatet finns i tjänstdefinitionsfilen och även om certifikatets tumavtryck anges i tjänstkonfigurationsfilen. Om du vill uppdatera certifikatet behöver du bara ladda upp ett nytt certifikat och ändra tumavtrycksvärdet i tjänstens konfigurationsfil.
Anteckning
Artikeln Cloud Services Vanliga frågor och svar – Konfiguration och hantering innehåller användbar information om certifikat.
Vad är hanteringscertifikat?
Hanteringscertifikat gör att du kan autentisera med den klassiska distributionsmodellen. Många program och verktyg (som Visual Studio och Azure SDK) använder sådana här certifikat till att automatisera konfigurationen och distributionen av olika Azure-tjänster. Dessa är egentligen inte relaterade till molntjänster.
Varning
Var försiktig! Med de här typerna av certifikat kan alla som autentiserar med dem hantera den prenumeration som de är associerade med.
Begränsningar
Det finns en gräns på 100 hanteringscertifikat per prenumeration. Det finns också en gräns på 100 hanteringscertifikat för alla prenumerationer under en specifik tjänstadministratörs användar-ID. Om kontoadministratörens användar-ID redan har använts för att lägga till 100 hanteringscertifikat och det finns behov av fler certifikat kan du lägga till en medadministratör för att lägga till ytterligare certifikat.
Dessutom kan hanteringscertifikat inte användas med CSP-prenumerationer eftersom CSP-prenumerationer endast stöder Azure Resource Manager distributionsmodell och hanteringscertifikat använder den klassiska distributionsmodellen. Referera till Azure Resource Manager jämfört med den klassiska distributionsmodellen och Förstå autentisering med Azure SDK för .NET för mer information om dina alternativ för CSP-prenumerationer.
Skapa ett nytt självsignerat certifikat
Du kan använda valfritt verktyg för att skapa ett självsignerat certifikat så länge de följer dessa inställningar:
Ett X.509-certifikat.
Innehåller en offentlig nyckel.
Skapades för nyckelutbyte (.pfx-fil).
Ämnesnamnet måste matcha domänen som används för att komma åt molntjänsten.
Du kan inte hämta ett TLS/SSL-certifikat för cloudapp.net-domänen (eller för någon Azure-relaterad domän). certifikatets ämnesnamn måste matcha det anpassade domännamnet som används för att komma åt ditt program. Till exempel contoso.net, inte contoso.cloudapp.net.
Minst 2048-bitars kryptering.
Endast tjänstcertifikat: Certifikat på klientsidan måste finnas i det personliga certifikatarkivet.
Det finns två enkla sätt att skapa ett certifikat på Windows, med makecert.exe verktyget eller IIS.
Makecert.exe
Det här verktyget har blivit inaktuellt och dokumenteras inte längre här. Mer information finns i den här MSDN-artikeln.
PowerShell
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Anteckning
Om du vill använda certifikatet med en IP-adress i stället för en domän använder du IP-adressen i parametern -DnsName.
Om du vill använda det här certifikatet med hanteringsportalen exporterar du det till en CER-fil :
Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer
Internet Information Services (IIS)
Det finns många sidor på Internet som beskriver hur du gör detta med IIS. Här är en bra jag fann att jag tycker förklarar det bra.
Linux
Den här artikeln beskriver hur du skapar certifikat med SSH.
Nästa steg
Ladda upp tjänstcertifikatet till Azure Portal.
Ladda upp ett API-certifikat för hantering till Azure Portal.