Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Среда службы приложений — это развертывание Службы приложений Azure в виртуальной сети Azure. Ее можно развернуть с помощью доступной из Интернета конечной точки приложения или конечной точки приложения, которая находится в виртуальной сети. Развертывание среды службы приложений с конечной точкой, доступной в Интернете называется внешней средой службы приложений. Развертывание среды службы приложений с конечной точкой в виртуальной сети называется средой службы приложений с подсистемой балансировки нагрузки. Дополнительные сведения о среде службы приложений с подсистемой балансировки нагрузки приведены в документе Создание и использование среды службы приложений с подсистемой балансировки нагрузки.
сертификаты для приложений.
Приложения, размещенные в среде службы приложений, поддерживают следующие функции сертификатов, ориентированные на приложения, которые также доступны в мультитенантной службе приложений. Требования и инструкции для отправки этих сертификатов и управления ими приведены в руководстве Добавление сертификата TLS или SSL в Службе приложений Azure.
После добавления сертификата в приложение или приложение-функцию Службы приложений с его помощью можно защитить имя личного домена или использовать его в коде приложения.
Ограничения
Управляемые сертификаты службы приложений не поддерживаются в приложениях, размещенных в среде службы приложений.
Параметры протокола TLS
Вы можете настроить параметр TLS на уровне приложения.
Сертификат частного клиента
Обычный вариант использования — настроить ваше приложение как клиент в модели клиент-сервер. Если вы защищаете сервер с помощью частного сертификата ЦС, необходимо передать сертификат клиента (.cer файл) в приложение. Инструкции ниже описывают загрузку сертификатов в хранилище доверия рабочих процессов, на которых работает ваше приложение. Этот сертификат необходимо отправить только один раз, чтобы использовать его для приложений, которые находятся в том же плане службы приложений.
Примечание.
Поддержка клиентских сертификатов осуществляется только с использованием пользовательского кода в приложениях Windows. Частные сертификаты клиентов не поддерживаются вне приложения. Это ограничивает использование в таких сценариях, как извлечение образа контейнера приложения из реестра с помощью частного сертификата и TLS-проверка через внешние серверы с использованием частного сертификата.
Выполните следующие действия, чтобы передать сертификат (CER-файл) приложению в среде службы приложений. CER-файл можно экспортировать из сертификата. В конце статьи приведен пример PowerShell, который можно использовать для создания временного самозаверяющего сертификата в целях тестирования:
Перейдите к приложению, которое требует сертификат на портале Azure
Перейдите к сертификатам в приложении. Выберите Сертификат открытого ключа (.cer). Нажмите Добавить сертификат. Введите имя. Найдите и выберите ваш файл CER. Выберите "Загрузить".
Скопируйте отпечаток.
Перейдите к Конфигурация>Настройки приложения. Создайте параметр приложения WEBSITE_LOAD_ROOT_CERTIFICATES, указав отпечаток в качестве значения. Если у вас несколько сертификатов, можно поместить их в один параметр, разделив их запятыми без пробелов, например
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
Сертификат доступен всем приложениям в том же плане службы приложений, что и приложение, которое настроило этот параметр, но все приложения, зависящие от сертификата частного ЦС, должны иметь параметры приложения, настроенные для предотвращения проблем с точностью времени.
Если необходимо, чтобы оно было доступно для приложений в другом плане Службы приложений, необходимо повторить операцию настройки приложения для приложений в этом плане Службы приложений. Чтобы проверить, что сертификат установлен, перейдите к консоли Kudu и отправьте следующую команду в отладочной консоли PowerShell:
dir Cert:\LocalMachine\Root
Чтобы выполнить тестирование, можно создать самозаверяющий сертификат и файл CER со следующей командой PowerShell.
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Сертификат частного сервера
Если приложение выступает в качестве сервера в модели клиентского сервера, либо за обратным прокси-сервером, либо непосредственно с частным клиентом, и вы используете частный сертификат ЦС, необходимо отправить сертификат сервера (PFX-файл ) с полной цепочкой сертификатов в приложение и привязать сертификат к личному домену. Поскольку инфраструктура выделена для вашей Среды службы приложений, в хранилище доверия серверов добавляется полная цепочка сертификатов. Необходимо загрузить сертификат только один раз, чтобы использовать его с приложениями, которые находятся в той же среде службы приложений.
Примечание.
Если вы отправили сертификат до 1 октября 2023 г., необходимо повторно загрузить и повторно привязать сертификат для полной цепочки сертификатов, добавляемой на серверы.
Следуйте учебному руководству по безопасной настройке домена с TLS/SSL, чтобы загрузить или привязать ваш корневой сертификат частного ЦС к приложению в среде службы приложений.
Следующие шаги
- Сведения об использовании сертификатов в коде приложения