本文內容
注意
本文介紹用于獨立 v2 應用服務計劃的應用服務環境 v3
應用服務環境是在 Azure 虛擬網絡中運行的 Azure 應用服務的部署�����。 可以使用能夠通過 訪問的應用程序終結點或者虛擬網絡中的應用程序終結點來部署 ASE���。 如果使用可通過 訪問的終結點來部署應用服務環境�����,則該部署稱為外部應用服務環境。 如果使用虛擬網絡中的終結點來部署應用服務環境��,則該部署稱為 ILB 應用服務環境�����。 可以在創建和使用 ILB 應用服務環境文檔中詳細了解 ILB 應用服務環境��。
應用程序證書
托管在應用服務環境中的應用程序支持以下以應用為中心的證書功能,這些功能在多租戶應用服務中也可用��。 有關上傳和管理這些證書的要求和說明��,請參閱在 Azure 應用服務中添加 TLS/SSL 證書��。
在將證書添加到應用服務應用或函數應用后,即可使用它來保護自定義域名或在應用程序代碼中使用它�����。
限制
托管在應用服務環境中的應用不支持���。
TLS 設置
可在應用級別���。
專用客戶端證書
一個常見用例是將應用配置為客戶端-服務器模型中的客戶端��。 如果使用專用 CA 證書保護服務器,則需要將客戶端證書(.cer 文件)上傳到應用。 以下說明介紹如何將證書加載到運行應用的輔助角色的信任存儲中。 只需上傳證書一次即可將它用于同一應用服務計劃中的應用。
注意
只有 Windows 代碼應用中的自定義代碼才支持專用客戶端證書��。 應用外部不支持專用客戶端證書�����。 這在某些場景下會限制使用��,例如使用專用證書從注冊表拉取應用容器映像,以及使用專用證書通過前端服務器進行 TLS 驗證��。
按照以下步驟將證書(.cer 文件)上傳到應用服務環境中的應用�����。 可以從證書導出 .cer 文件�����。 出于測試目的,末尾有一個 示例,用于生成臨時自簽名證書:
在 Azure 門戶中轉到需要該證書的應用
轉到應用中的“證書”。 選擇“公鑰證書(.cer)”�����。 選擇“添加證書”。 提供一個名稱��。 瀏覽并選擇你的 .cer 文件��。 選擇“上傳”。
復制指紋。
轉到“配置”>“應用程序設置”��。 創建應用設置 �����,并使用指紋作為值���。 如果有多個證書��,可將其放到同一個設置中,并用逗號分隔(不要包含空格)�����,例如
,
該證書將由與配置了該設置的應用在同一應用服務計劃中的所有應用使用���,但依賴于專用 CA 證書的所有應用都應配置“應用程序設置”以避免計時問題��。
如果需要它可用于其他應用服務計劃中的應用���,則需要對該應用服務計劃中的應用重復此應用設置操作�����。 若要檢查是否設置了證書,請轉到 Kudu 控制臺,并在 調試控制臺中發出以下命令:
dir Cert:\LocalMachine\Root
若要執行測試,可以創建自簽名證書��,并使用以下 命令生成 .cer 文件:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
專用服務器證書
如果應用充當客戶端-服務器模型中的服務器(位于反向代理后面或直接與專用客戶端一起使用)�����,并且你使用的是專用 CA 證書�����,則你需要將服務器證書(.pfx 文件)連同完整證書鏈一起上傳到應用��,然后將證書綁定到自定義域��。 由于基礎結構專用于應用服務環境,因此完整證書鏈將添加到服務器的信任存儲中�����。 只需上傳證書一次即可將它用于同一應用服務環境中的應用���。
注意
如果證書是在 2023 年 10 月 1 日之前上傳的�����, 則需要重新上傳并重新綁定證書��,才能將完整證書鏈添加到服務器。
遵循使用 TLS/SSL 保護自定義域教程將專用 CA 根證書上傳/綁定到應用服務環境中的應用���。
后續步驟
