Certificati e Ambiente del servizio app
Nota
Questo articolo riguarda il ambiente del servizio app v3, usato con piani di servizio app isolato v2
Il ambiente del servizio app è una distribuzione del servizio app Azure eseguito all'interno della rete virtuale di Azure. Può essere distribuita con un endpoint applicazione accessibile da Internet o un endpoint applicazione che si trova in una rete virtuale. Se si distribuisce il ambiente del servizio app con un endpoint accessibile da Internet, tale distribuzione viene chiamata ambiente del servizio app esterna. Se si distribuisce il ambiente del servizio app con un endpoint nella rete virtuale, tale distribuzione viene denominata ambiente del servizio app ilB. Per altre informazioni sul ambiente del servizio app il bilanciamento del carico interno, vedere il documento Creare e usare un ambiente del servizio app ilB.
Certificati delle applicazioni
Le applicazioni ospitate in un ambiente del servizio app supportano le funzionalità di certificato incentrate sull'app seguenti, disponibili anche nel servizio app multi-tenant. Per i requisiti e le istruzioni per il caricamento e la gestione di tali certificati, vedere Aggiungere un certificato TLS/SSL nel servizio app Azure.
Dopo aver aggiunto il certificato all'app o all'app per le funzioni servizio app, è possibile proteggere un nome di dominio personalizzato con esso o usarlo nel codice dell'applicazione.
Limiti
servizio app certificati gestiti non sono supportati nelle app ospitate in un ambiente del servizio app.
Impostazioni di TLS
È possibile configurare l'impostazione TLS a livello di app.
Certificato client privato
Un caso d'uso comune è quello in cui l'app viene configurata come client in un modello client-server. Se si protegge il server con un certificato ca privato, è necessario caricare il certificato client (file .cer ) nell'app. Le istruzioni seguenti caricano i certificati nell'archivio attendibilità dei ruoli di lavoro in cui è in esecuzione l'app. È necessario caricare il certificato una sola volta per usarlo con le app che si trovano nello stesso piano di servizio app.
Nota
I certificati client privati sono supportati solo dal codice personalizzato nelle app di codice di Windows. I certificati client privati non sono supportati all'esterno dell'app. Questo limita l'utilizzo in scenari come il pull dell'immagine del contenitore dell'app da un registro usando un certificato privato e TLS convalidando tramite i server front-end usando un certificato privato.
Seguire questa procedura per caricare il certificato (file .cer) nell'app nel ambiente del servizio app. Il file .cer può essere esportato dal certificato. Ai fini dei test, è disponibile un esempio di PowerShell alla fine per generare un certificato autofirmato temporaneo:
Passare all'app che richiede il certificato nel portale di Azure
Passare a Certificati nell'app. Selezionare Certificato chiave pubblica (.cer). Selezionare Aggiungi certificato. Specificare un nome. Esplorare e selezionare i file .cer. Selezionare Carica.
Copiare l'identificazione personale.
Passare a Impostazioni applicazione di configurazione>. Creare un'impostazione dell'app WEBSITE_LOAD_ROOT_CERTIFICATES con l'identificazione personale come valore. Se si hanno più certificati, è possibile inserirli nella stessa impostazione separata da virgole e senza spazi vuoti, ad esempio
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
Il certificato è disponibile da tutte le app nello stesso piano di servizio app dell'app, che ha configurato tale impostazione, ma tutte le app che dipendono dal certificato ca privato devono avere l'impostazione dell'applicazione configurata per evitare problemi di intervallo.
Se è necessario che sia disponibile per le app in un piano di servizio app diverso, è necessario ripetere l'operazione di impostazione dell'app per le app in tale piano di servizio app. Per verificare che il certificato sia impostato, passare alla console Kudu ed eseguire il comando seguente nella console di debug di PowerShell:
dir Cert:\LocalMachine\Root
Per eseguire il test, è possibile creare un certificato autofirmato e generare un file CER con il comando PowerShell seguente:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Certificato del server privato
Se l'app funge da server in un modello client-server, dietro un proxy inverso o direttamente con client privato e si usa un certificato della CA privato, è necessario caricare il certificato server (file pfx ) con la catena di certificati completa nell'app e associare il certificato al dominio personalizzato. Poiché l'infrastruttura è dedicata ai ambiente del servizio app, la catena di certificati completa viene aggiunta all'archivio attendibilità dei server. È necessario caricare il certificato una sola volta per usarlo con le app che si trovano nello stesso ambiente del servizio app.
Nota
Se il certificato è stato caricato prima di 1. Ottobre 2023, sarà necessario ricaricare e riassociare il certificato per l'aggiunta completa della catena di certificati ai server.
Seguire l'esercitazione proteggere il dominio personalizzato con TLS/SSL per caricare/associare il certificato rooted della CA privata all'app nel ambiente del servizio app.
Passaggi successivi
- Informazioni su come usare i certificati nel codice dell'applicazione