Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Key Vault verwenden, um TRANSPORT Layer Security (TLS) und SSL-Zertifikate (Secure Sockets Layer) für Ihre Container-App zentral zu verwalten. Key Vault kann Zertifikataktualisierungen, Erneuerungen und Überwachung verarbeiten.
In diesem Artikel erfahren Sie, wie Sie ein Key Vault-Zertifikat in eine Azure-Container-Apps-Umgebung importieren.
Voraussetzungen
- Eine Key Vault-Ressource
- Ein Zertifikat, das in Ihrem Schlüsseltresor gespeichert ist
Schritte zum Erstellen eines Schlüsseltresors und Hinzufügen eines Zertifikats finden Sie unter Importieren eines Zertifikats in Azure Key Vault oder Konfigurieren der Autorotation von Zertifikaten im Key Vault.
Ausnahmen
Container-Apps unterstützen die meisten Zertifikattypen. Es gibt jedoch einige Ausnahmen, die Sie beachten sollten:
- Elliptic Curve Digital Signature Algorithm (ECDSA) p384- und p521-Zertifikate werden nicht unterstützt.
- Wenn Sie ein Azure App Service-Zertifikat verwenden möchten, müssen Sie die Azure CLI verwenden, um es aus Key Vault in Container-Apps zu importieren. In diesem Artikel erfahren Sie, wie Sie mithilfe des Azure-Portals ein Zertifikat importieren. Sie können jedoch das Azure-Portal nicht zum Importieren von App Service-Zertifikaten verwenden, da diese Zertifikate im Key Vault gespeichert werden.
Aktivieren der verwalteten Identität für Ihre Container-Apps-Umgebung
Container-Apps verwenden eine verwaltete Identität auf Umgebungsebene, um auf Ihren Schlüsseltresor zuzugreifen und Ihr Zertifikat zu importieren. Sie können zu diesem Zweck eine vom System zugewiesene Identität oder eine vom Benutzer zugewiesene Identität verwenden. Führen Sie die folgenden Schritte aus, um eine vom System zugewiesene verwaltete Identität zu verwenden:
Wechseln Sie zum Azure-Portal, und wechseln Sie dann zur Container-Apps-Umgebung, in die Sie ein Zertifikat importieren möchten.
Wählen Sie Einstellungen>Identität aus.
Aktivieren Sie auf der Registerkarte "System zugewiesen" den Schalter "Status".
Wählen Sie Speichern aus. Wenn das Fenster " Vom System zugewiesene verwaltete Identität aktivieren " angezeigt wird, wählen Sie "Ja" aus.
Wählen Sie unter "Berechtigungen" Azure-Rollenzuweisungen aus, um das Fenster "Rollenzuweisungen" zu öffnen.
Wählen Sie "Rollenzuweisung hinzufügen" und dann die folgenden Werte aus:
Eigenschaft Wert `Scope` Schlüsseltresor Subscription Ihr Azure-Abonnement Resource Ihr Schlüsseltresor Role Key Vault-Geheimnisbenutzer Wählen Sie Speichern aus.
Key Vault bietet zwei Autorisierungssysteme: Azure role-based access control (Azure RBAC) und ein älteres Zugriffsrichtlinienmodell. Ausführliche Informationen zu den beiden Systemen finden Sie unter Azure role-based access control (Azure RBAC) vs. Zugriffsrichtlinien (Legacy).
Importieren eines Zertifikats aus Key Vault
Um ein Zertifikat aus Key Vault in Ihre Container-App-Umgebung zu importieren, führen Sie die Schritte in den folgenden Abschnitten aus.
Initiieren des Prozesses
Wechseln Sie im Azure-Portal zu Ihrer Container-Apps-Umgebung.
Wählen Sie Einstellungen>Zertifikate aus.
Wechseln Sie zur Registerkarte "Eigene Zertifikate (.pfx)".
Klicken Sie auf Zertifikat hinzufügen.
Hinzufügen des Zertifikats
Wählen Sie im Dialogfeld "Zertifikat hinzufügen " neben " Quelle" die Option "Aus Key Vault importieren" aus.
Wählen Sie Key Vault-Zertifikat auswählen und dann wählen Sie die folgenden Werte aus:
Eigenschaft Wert Subscription Ihr Azure-Abonnement Schlüsseltresor Ihr Schlüsseltresor Zertifikat Ihr Zertifikat Hinweis
Wenn eine Fehlermeldung angezeigt wird, die besagt, dass der Vorgang "Liste" in der Zugriffsrichtlinie dieses Schlüsseltresors nicht aktiviert ist, müssen Sie eine Zugriffsrichtlinie in Ihrem Schlüsseltresor konfigurieren, damit Ihr Benutzerkonto Zertifikate auflisten kann. Weitere Informationen finden Sie unter Zuweisen einer Key Vault-Zugriffsrichtlinie (Legacy).
Wählen Sie Auswählen.
Wählen Sie im Dialogfeld "Zertifikat hinzufügen " neben "Verwaltete Identität" die Option "System zugewiesen" aus. Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden, wählen Sie stattdessen Ihre vom Benutzer zugewiesene verwaltete Identität aus.
Wählen Sie Hinzufügen.
Hinweis
Wenn eine Fehlermeldung angezeigt wird, stellen Sie sicher, dass der verwalteten Identität die Rolle "Key Vault Secrets-Benutzer" für Ihr Key Vault zugewiesen ist.
Konfigurieren einer benutzerdefinierten Domäne
Nachdem Sie Ihr Zertifikat konfiguriert haben, können Sie es verwenden, um Ihre benutzerdefinierte Domäne zu schützen. Führen Sie die Schritte unter Hinzufügen einer benutzerdefinierten Domäne und eines benutzerdefinierten Zertifikats aus, und wählen Sie das Aus dem Key Vault importierte Zertifikat aus.
Rotieren von Zertifikaten
Wenn Sie Ihr Zertifikat im Key Vault drehen, aktualisiert Container-Apps das Zertifikat automatisch in Ihrer Umgebung. Es dauert bis zu 12 Stunden, bis das neue Zertifikat angewendet wird.