Mevcut özel etki alanını Azure Spring Apps ile eşleme

  • Makale

Not

Azure Spring Apps, Azure Spring Cloud hizmetinin yeni adıdır. Hizmetin yeni bir adı olsa da, ekran görüntüleri, videolar ve diyagramlar gibi varlıkları güncelleştirmek için çalışırken bazı yerlerde eski adı bir süre görürsünüz.

Bu makale şunlar için geçerlidir: ✔️ Java ✔️ C#

Bu makale şunlar için geçerlidir: ✔️ Standard ✔️ Enterprise

Etki Alanı Adı Hizmeti (DNS), ağ düğümü adlarını ağ genelinde depolamak için kullanılan bir tekniktir. Bu makale, CNAME kaydı kullanarak gibi www.contoso.combir etki alanını eşler. Özel etki alanının güvenliğini bir sertifikayla sağlar ve Güvenli Yuva Katmanı (SSL) olarak da bilinen Aktarım Katmanı Güvenliği'ni (TLS) zorunlu kılmayı gösterir.

Sertifikalar web trafiğini şifreler. Bu TLS/SSL sertifikaları Azure Key Vault'ta depolanabilir.

Önkoşullar

  • Azure aboneliği. Aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
  • (İsteğe bağlı) Azure CLI sürüm 2.45.0 veya üzeri. Azure Spring Apps uzantısını yüklemek için aşağıdaki komutu kullanın: az extension add --name spring
  • Azure Spring Apps'e dağıtılan bir uygulama (bkz . Hızlı Başlangıç: Azure portalını kullanarak Azure Spring Apps'te mevcut bir uygulamayı başlatma veya mevcut bir uygulamayı kullanma). Uygulamanız Temel plan kullanılarak dağıtıldıysa Standart plana yükseltmeyi unutmayın.
  • GoDaddy gibi bir etki alanı sağlayıcısı için DNS kayıt defterine erişimi olan bir etki alanı adı.
  • Üçüncü taraf sağlayıcıdan özel bir sertifika (yani otomatik olarak imzalanan sertifikanız). Sertifikanın etki alanıyla eşleşmesi gerekir.
  • Azure Key Vault'un dağıtılan bir örneği. Daha fazla bilgi için bkz . Azure Key Vault hakkında.

Azure Spring Apps yönetiminin IP adresleri henüz Azure Güvenilen Microsoft hizmetleri parçası değildir. Bu nedenle, Azure Spring Apps'in özel uç nokta bağlantılarıyla korunan bir Key Vault'tan sertifika yüklemesini sağlamak için Azure Key Vault güvenlik duvarına aşağıdaki IP adreslerini eklemeniz gerekir:

  • 20.99.204.111
  • 20.201.9.97
  • 20.74.97.5
  • 52.235.25.35
  • 20.194.10.0
  • 20.59.204.46
  • 104.214.186.86
  • 52.153.221.222
  • 52.160.137.39
  • 20.39.142.56
  • 20.199.190.222
  • 20.79.64.6
  • 20.211.128.96
  • 52.149.104.144
  • 20.197.121.209
  • 40.119.175.77
  • 20.108.108.22
  • 102.133.143.38
  • 52.226.244.150
  • 20.84.171.169
  • 20.93.48.108
  • 20.75.4.46
  • 20.78.29.213
  • 20.106.86.34
  • 20.193.151.132

Sertifikayı içeri aktarma

Sertifika dosyanızı PFX'te hazırlama (isteğe bağlı)

Azure Key Vault, PEM ve PFX biçiminde özel sertifika içeri aktarmayı destekler. Sertifika sağlayıcınızdan aldığınız PEM dosyası Key Vault'ta sertifikayı kaydetme bölümünde çalışmıyorsa, Azure Key Vault için PFX oluşturmak için buradaki adımları izleyin.

Ara sertifikaları birleştirme

Sertifika yetkiliniz size sertifika zincirinde birden çok sertifika verirse, sertifikaları sırayla birleştirmeniz gerekir.

Bu görevi yapmak için, aldığınız her sertifikayı bir metin düzenleyicisinde açın.

Birleştirilmiş sertifika için mergedcertificate.crt adlı bir dosya oluşturun. Bir metin düzenleyicisinde her bir sertifikanın içeriğini bu dosyaya kopyalayın. Sertifikalarınızın sırası, sertifikanızla başlayıp kök sertifika ile sona ererek sertifika zincirindeki sırayla aynı olmalıdır. Aşağıdaki örneğe benzer şekilde görünür:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Sertifikayı PFX dosyasına aktarma

Birleştirilmiş TLS/SSL sertifikanızı sertifika isteğinizin oluşturulduğu özel anahtarla dışarı aktarın.

Sertifika isteğinizi OpenSSL kullanarak oluşturduysanız bir özel anahtar dosyası oluşturduğunuz anlamına gelir. Sertifikanızı PFX dosyasına aktarmak için aşağıdaki komutu çalıştırın. private-key-file ve< merged-certificate-file>> yer tutucularını <özel anahtarınızın ve birleştirilmiş sertifika dosyanızın yolları ile değiştirin.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Sorulduğunda bir dışarı aktarma parolası tanımlayın. TLS/SSL sertifikanızı daha sonra Azure Key Vault'a yüklerken bu parolayı kullanın.

Sertifika isteğinizi oluşturmak için IIS veya Certreq.exe kullandıysanız, sertifikayı yerel makinenize yükleyin ve sonra sertifikayı PFX’e aktarın.

Sertifikayı Key Vault'a kaydetme

Sertifikayı içeri aktarma yordamı PEM veya PFX kodlanmış dosyasının diskte olmasını gerektirir ve özel anahtara sahip olmanız gerekir.

Sertifikanızı Key Vault'a yüklemek için aşağıdaki adımları kullanın:

  1. Anahtar kasası örneğine gidin.

  2. Gezinti bölmesinde Sertifikalar'ı seçin.

  3. Üst menüde Oluştur/içeri aktar'ı seçin.

  4. Sertifika oluştur sayfasında, Sertifika Oluşturma Yöntemi için İçeri Aktar'ı seçin ve sertifika adı için bir değer sağlayın.

  5. Sertifika Dosyasını Karşıya Yükle altında sertifika konumuna gidin ve seçin.

  6. Parola altında, parola korumalı bir sertifika dosyasını karşıya yüklüyorsanız, bu parolayı burada belirtin. Aksi takdirde boş bırakın. Sertifika dosyası başarıyla içeri aktarıldıktan sonra anahtar kasası bu parolayı kaldırır.

  7. Oluştur'u belirleyin.

    Azure portalı Sertifika oluştur iletişim kutusunun ekran görüntüsü.

Azure Spring Apps'e anahtar kasanıza erişim verme

Sertifikayı içeri aktarmadan önce Azure Spring Apps'e anahtar kasanıza erişim vermeniz gerekir.

Azure portalını kullanarak erişim vermek için aşağıdaki adımları kullanın:

  1. Anahtar kasası örneğine gidin.
  2. Gezinti bölmesinde Erişim ilkeleri'ni seçin.
  3. Üst menüde Oluştur'u seçin.
  4. Bilgileri doldurun ve Ekle düğmesi'ni ve ardından Erişim ilkesi oluştur'u seçin.
Gizli dizi izni Sertifika izni Sorumlu seçin
Al, Listele Al, Listele Azure Spring Apps Etki Alanı Yönetimi

Not

"Azure Spring Apps Domain-Management" öğesini bulamazsanız "Azure Spring Cloud Domain-Management" araması yapın.

Gizli dizi izinlerinden ve Sertifika izinlerinden Al ve Listele'nin seçili olduğu Azure portalı Erişim İlkesi Ekle sayfasının ekran görüntüsü.

Sorumlu seçin açılan listesinden Azure Spring Apps Etki Alanı yönetimi'nin seçili olduğu Azure portalı Erişim İlkesi Oluştur sayfasının ekran görüntüsü.

Sertifikayı Azure Spring Apps'e aktarma

  1. Azure Spring Apps örneğine gidin.

  2. Gezinti bölmesinde TLS/SSL ayarları'nı seçin.

  3. Anahtar kasası sertifikayı içeri aktar'ı seçin.

    Anahtar kasası sertifikasını içeri aktar düğmesinin vurgulandığı TLS/SSL ayarları sayfasını gösteren Azure portalının ekran görüntüsü.

  4. Azure'dan sertifika seçin sayfasında, açılan seçeneklerden Abonelik, Anahtar Kasası ve Sertifika'yı seçin ve ardından Seç'i seçin.

    Azure portalının Azure'dan sertifika seçin sayfasını gösteren ekran görüntüsü.

  5. Açılan Sertifika adını ayarla sayfasında sertifika adınızı girin, gerekirse otomatik eşitlemeyi etkinleştir'i ve ardından Uygula'yı seçin. Daha fazla bilgi için Sertifikayı otomatik eşitleme bölümüne bakın.

    Azure portalı Sertifika adını ayarla iletişim kutusunun ekran görüntüsü.

  6. Sertifikanızı başarıyla içeri aktardığınızda, özel anahtar sertifikaları listesinde görüntülenir.

    Özel Anahtar Sertifikaları sekmesini gösteren Azure portalının ekran görüntüsü.

Önemli

Bu sertifikayla özel bir etki alanının güvenliğini sağlamak için sertifikayı belirli bir etki alanına bağlayınız. Daha fazla bilgi için SSL bağlaması ekleme bölümüne bakın.

Sertifikayı otomatik eşitleme

Azure Key Vault'ta depolanan bir sertifika bazen süresi dolmadan yenilenir. Benzer şekilde, kuruluşunuzun sertifika yönetimine yönelik güvenlik ilkeleri, DevOps ekibinizin sertifikaları düzenli aralıklarla yenileriyle değiştirmesini gerektirebilir. Sertifika için otomatik eşitlemeyi etkinleştirdikten sonra Azure Spring Apps, anahtar kasanızı düzenli olarak yeni bir sürüm için (genellikle 24 saatte bir) eşitlemeye başlar. Yeni bir sürüm varsa, Azure Spring Apps bu sürümü içeri aktarır ve ardından herhangi bir kapalı kalma süresine neden olmadan sertifikayı kullanarak çeşitli bileşenler için yeniden yükler. Aşağıdaki listede etkilenen bileşenler ve ilgili senaryolar gösterilmektedir:

Azure Spring Apps bir sertifikayı içeri aktardığında veya yeniden yüklediğinde bir etkinlik günlüğü oluşturulur. Etkinlik günlüklerini görmek için Azure portalında Azure Spring Apps örneğine gidin ve gezinti bölmesinde Etkinlik günlüğü'nü seçin.

Not

Sertifika otomatik eşitleme özelliği, Azure Key Vault'tan içeri aktarılan özel sertifikalar ve genel sertifikalarla çalışır. Bu özellik, müşterinin karşıya yüklediği içerik sertifikaları için kullanılamaz.

Anahtar kasanızdan Azure Spring Apps'e bir sertifika içeri aktarırken sertifika otomatik eşitleme özelliğini etkinleştirebilir veya devre dışı bırakabilirsiniz. Daha fazla bilgi için Sertifikayı Azure Spring Apps'e aktarma bölümüne bakın.

Ayrıca, Azure Spring Apps'e zaten aktarılmış bir sertifika için bu özelliği etkinleştirebilir veya devre dışı bırakabilirsiniz.

İçeri aktarılan bir sertifika için otomatik eşitlemeyi etkinleştirmek veya devre dışı bırakmak için aşağıdaki adımları kullanın:

  1. Özel Anahtar Sertifikaları veya Ortak Anahtar Sertifikaları listesine gidin.

  2. Otomatik eşitleme sütunundan sonra üç nokta (...) düğmesini seçin ve ardından Otomatik eşitlemeyi etkinleştir veya Otomatik eşitlemeyi devre dışı bırak'ı seçin.

    Üç nokta düğmesi menüsünün açık ve Otomatik eşitlemeyi etkinleştir seçeneğinin seçili olduğu bir sertifika listesini gösteren Azure portalının ekran görüntüsü.

Özel Etki Alanı Ekle

Özel bir DNS adını Azure Spring Apps ile eşlemek için bir CNAME kaydı kullanabilirsiniz.

Not

A kaydı desteklenmez.

CNAME kaydı oluşturma

DNS sağlayıcınıza gidin ve etki alanınızı <service-name>.azuremicroservices.ioile eşlemek için bir CNAME kaydı ekleyin. Burada Azure <service-name> Spring Apps örneğinizin adı yer alır. Joker etki alanını ve alt etki alanını destekliyoruz.

CNAME'yi ekledikten sonra DNS kayıtları sayfası aşağıdaki örneğe benzer:

Azure Spring Apps örneğini gösteren DNS kayıtları sayfasının ekran görüntüsü.

Özel etki alanınızı Azure Spring Apps uygulamasıyla eşleme

Azure Spring Apps'te uygulamanız yoksa Hızlı Başlangıç: İlk uygulamanızı Azure Spring Apps'e dağıtma başlığı altındaki yönergeleri izleyin.

Uygulama sayfasına gidin.

  1. Özel Etki Alanı'ı seçin.

  2. Ardından Özel Etki Alanı ekle'yi seçin.

    Özel etki alanı sayfasını gösteren Azure portalının ekran görüntüsü.

  3. www.contoso.com gibi bir CNAME kaydı eklediğiniz tam etki alanı adını yazın. Konak adı kayıt türünün CNAME (<service-name>.azuremicroservices.io) olarak ayarlandığından emin olun

  4. Ekle düğmesini etkinleştirmek için Doğrula'yı seçin.

  5. Ekle'yi seçin.

    Azure portalı Özel etki alanı ekle iletişim kutusunun ekran görüntüsü.

Bir uygulamada birden çok etki alanı olabilir, ancak bir etki alanı yalnızca bir uygulamayla eşlenebilir. Özel etki alanınızı uygulamayla başarıyla eşlediğinizde, özel etki alanı tablosunda görüntülenir.

Özel etki alanı tablosunu gösteren Azure portalının ekran görüntüsü.

Not

Özel etki alanınız için Güvenli Değil etiketi, henüz bir SSL sertifikasına bağlı olmadığı anlamına gelir. Tarayıcıdan özel etki alanınıza yapılan tüm HTTPS istekleri bir hata veya uyarı alır.

SSL bağlaması ekleme

Özel etki alanı tablosunda, önceki şekilde gösterildiği gibi Ssl bağlaması ekle'yi seçin.

  1. Sertifikanızı seçin veya içeri aktarınız.

  2. Kaydet'i seçin.

    TLS/SSL bağlama bölmesini gösteren Azure portalının ekran görüntüsü.

SSL bağlamasını başarıyla ekledikten sonra etki alanı durumu güvenlidir: Sağlıklı.

Etki alanı durumunun Sağlıklı olduğunu gösteren SSL bağlamasının ekran görüntüsü.

HTTPS zorlama

Varsayılan olarak, herkes HTTP kullanarak uygulamanıza erişmeye devam edebilir, ancak tüm HTTP isteklerini HTTPS bağlantı noktasına yönlendirebilirsiniz.

Uygulama sayfanızdaki gezintide Özel Etki Alanı'nı seçin. Ardından, Yalnızca HTTPS'yi olarak Yesayarlayın.

Yalnızca https seçeneğinin vurgulandığı SSL bağlamasının ekran görüntüsü.

İşlem tamamlandığında, uygulamanızı gösteren HTTPS URL'lerinden herhangi birine gidin. HTTP URL'lerinin çalışmadığını unutmayın.

Sonraki adımlar