本文內(nèi)容
注意
本文介紹用于獨(dú)立 v2 應(yīng)用服務(wù)計(jì)劃的應(yīng)用服務(wù)環(huán)境 v3
應(yīng)用服務(wù)環(huán)境是在 Azure 虛擬網(wǎng)絡(luò)中運(yùn)行的 Azure 應(yīng)用服務(wù)的部署���。 可以使用能夠通過 訪問的應(yīng)用程序終結(jié)點(diǎn)或者虛擬網(wǎng)絡(luò)中的應(yīng)用程序終結(jié)點(diǎn)來部署 ASE�。 如果使用可通過 訪問的終結(jié)點(diǎn)來部署應(yīng)用服務(wù)環(huán)境���,則該部署稱為外部應(yīng)用服務(wù)環(huán)境���。 如果使用虛擬網(wǎng)絡(luò)中的終結(jié)點(diǎn)來部署應(yīng)用服務(wù)環(huán)境�,則該部署稱為 ILB 應(yīng)用服務(wù)環(huán)境。 可以在創(chuàng)建和使用 ILB 應(yīng)用服務(wù)環(huán)境文檔中詳細(xì)了解 ILB 應(yīng)用服務(wù)環(huán)境�。
應(yīng)用程序證書
托管在應(yīng)用服務(wù)環(huán)境中的應(yīng)用程序支持以下以應(yīng)用為中心的證書功能�,這些功能在多租戶應(yīng)用服務(wù)中也可用�����。 有關(guān)上傳和管理這些證書的要求和說明�,請(qǐng)參閱在 Azure 應(yīng)用服務(wù)中添加 TLS/SSL 證書。
在將證書添加到應(yīng)用服務(wù)應(yīng)用或函數(shù)應(yīng)用后,即可使用它來保護(hù)自定義域名或在應(yīng)用程序代碼中使用它�。
限制
托管在應(yīng)用服務(wù)環(huán)境中的應(yīng)用不支持�����。
TLS 設(shè)置
可在應(yīng)用級(jí)別�����。
專用客戶端證書
一個(gè)常見用例是將應(yīng)用配置為客戶端-服務(wù)器模型中的客戶端�����。 如果使用專用 CA 證書保護(hù)服務(wù)器,則需要將客戶端證書(.cer 文件)上傳到應(yīng)用�。 以下說明介紹如何將證書加載到運(yùn)行應(yīng)用的輔助角色的信任存儲(chǔ)中���。 只需上傳證書一次即可將它用于同一應(yīng)用服務(wù)計(jì)劃中的應(yīng)用���。
注意
只有 Windows 代碼應(yīng)用中的自定義代碼才支持專用客戶端證書���。 應(yīng)用外部不支持專用客戶端證書�����。 這在某些場(chǎng)景下會(huì)限制使用,例如使用專用證書從注冊(cè)表拉取應(yīng)用容器映像���,以及使用專用證書通過前端服務(wù)器進(jìn)行 TLS 驗(yàn)證。
按照以下步驟將證書(.cer 文件)上傳到應(yīng)用服務(wù)環(huán)境中的應(yīng)用�。 可以從證書導(dǎo)出 .cer 文件�����。 出于測(cè)試目的,末尾有一個(gè) 示例�,用于生成臨時(shí)自簽名證書:
在 Azure 門戶中轉(zhuǎn)到需要該證書的應(yīng)用
轉(zhuǎn)到應(yīng)用中的“證書”。 選擇“公鑰證書(.cer)”�����。 選擇“添加證書”�����。 提供一個(gè)名稱���。 瀏覽并選擇你的 .cer 文件�。 選擇“上傳”�����。
復(fù)制指紋�。
轉(zhuǎn)到“配置”>“應(yīng)用程序設(shè)置”�����。 創(chuàng)建應(yīng)用設(shè)置 �����,并使用指紋作為值。 如果有多個(gè)證書�����,可將其放到同一個(gè)設(shè)置中���,并用逗號(hào)分隔(不要包含空格)�����,例如
,
該證書將由與配置了該設(shè)置的應(yīng)用在同一應(yīng)用服務(wù)計(jì)劃中的所有應(yīng)用使用���,但依賴于專用 CA 證書的所有應(yīng)用都應(yīng)配置“應(yīng)用程序設(shè)置”以避免計(jì)時(shí)問題�����。
如果需要它可用于其他應(yīng)用服務(wù)計(jì)劃中的應(yīng)用,則需要對(duì)該應(yīng)用服務(wù)計(jì)劃中的應(yīng)用重復(fù)此應(yīng)用設(shè)置操作。 若要檢查是否設(shè)置了證書���,請(qǐng)轉(zhuǎn)到 Kudu 控制臺(tái),并在 調(diào)試控制臺(tái)中發(fā)出以下命令:
dir Cert:\LocalMachine\Root
若要執(zhí)行測(cè)試,可以創(chuàng)建自簽名證書�����,并使用以下 命令生成 .cer 文件:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
專用服務(wù)器證書
如果應(yīng)用充當(dāng)客戶端-服務(wù)器模型中的服務(wù)器(位于反向代理后面或直接與專用客戶端一起使用)�����,并且你使用的是專用 CA 證書�����,則你需要將服務(wù)器證書(.pfx 文件)連同完整證書鏈一起上傳到應(yīng)用,然后將證書綁定到自定義域。 由于基礎(chǔ)結(jié)構(gòu)專用于應(yīng)用服務(wù)環(huán)境�,因此完整證書鏈將添加到服務(wù)器的信任存儲(chǔ)中�。 只需上傳證書一次即可將它用于同一應(yīng)用服務(wù)環(huán)境中的應(yīng)用�����。
注意
如果證書是在 2023 年 10 月 1 日之前上傳的�, 則需要重新上傳并重新綁定證書���,才能將完整證書鏈添加到服務(wù)器�����。
遵循使用 TLS/SSL 保護(hù)自定義域教程將專用 CA 根證書上傳/綁定到應(yīng)用服務(wù)環(huán)境中的應(yīng)用。
后續(xù)步驟
