Compartir a través de

Importación de certificados de Azure Key Vault a Azure Container Apps

Puede usar Azure Key Vault para administrar de forma centralizada certificados de seguridad de la capa de transporte (TLS) y capa de sockets seguros (SSL) para la aplicación contenedora. Key Vault puede controlar las actualizaciones de certificados, las renovaciones y la supervisión.

En este artículo se muestra cómo importar un certificado de Key Vault en un entorno de Azure Container Apps.

Requisitos previos

  • Un recurso de Key Vault
  • Un certificado almacenado en el almacén de claves

Para conocer los pasos para crear un almacén de claves y agregar un certificado, consulte Importación de un certificado en Azure Key Vault o Configuración de la autorización de certificados en Key Vault.

Excepciones

Container Apps admite la mayoría de los tipos de certificado. Pero hay algunas excepciones que debe tener en cuenta:

  • No se admiten los certificados p384 y p521 del algoritmo de firma digital de curva elíptica (ECDSA).
  • Si quiere usar un certificado de Azure App Service, debe usar la CLI de Azure para importarlo desde Key Vault a Container Apps. En este artículo se muestra cómo usar Azure Portal para importar un certificado. Pero no puede usar Azure Portal para importar certificados de App Service, debido a cómo se guardan estos certificados en Key Vault.

Habilitación de la identidad administrada para el entorno de Container Apps

Container Apps usa una identidad administrada de nivel de entorno para acceder al almacén de claves e importar el certificado. Puede usar una identidad asignada por el sistema o una identidad asignada por el usuario para este propósito. Para usar una identidad administrada asignada por el sistema, siga estos pasos:

  1. Vaya a Azure Portal y, a continuación, vaya al entorno de Container Apps en el que desea importar un certificado.

  2. Seleccione Configuración>Identidad.

  3. En la pestaña Asignado por el sistema, active el interruptor Estado.

  4. Seleccione Guardar. Cuando aparezca la ventana Habilitar identidad administrada asignada por el sistema , seleccione .

  5. En Permisos, seleccione Asignaciones de roles de Azure para abrir la ventana asignaciones de roles.

  6. Seleccione Agregar asignación de roles y, a continuación, seleccione los valores siguientes:

    Propiedad Value
    Ámbito Almacén de claves
    Suscripción Su suscripción de Azure
    Recurso Almacén de claves
    Role Usuario de secretos de Key Vault

  7. Seleccione Guardar.

Key Vault ofrece dos sistemas de autorización: control de acceso basado en rol de Azure (RBAC de Azure) y un modelo de directiva de acceso heredado. Para obtener información detallada sobre los dos sistemas, consulte Control de acceso basado en rol de Azure (Azure RBAC) frente a las directivas de acceso (heredadas).

Importación de un certificado de Key Vault

Para importar un certificado de Key Vault en el entorno de la aplicación contenedora, siga los pasos descritos en las secciones siguientes.

Iniciar el proceso

  1. En Azure Portal, vaya al entorno de la aplicación contenedora.

  2. Seleccione Configuración>Certificados.

  3. Vaya a la pestaña Traiga sus propios certificados (.pfx).

  4. Select Agregar certificado.

Adición del certificado

  1. En el cuadro de diálogo Agregar certificado , junto a Origen, seleccione Importar desde Key Vault.

  2. Seleccione Seleccionar certificado del almacén de claves y, a continuación, seleccione los valores siguientes:

    Propiedad Value
    Suscripción Su suscripción de Azure
    Almacén de claves Almacén de claves
    Certificado El certificado

    Nota:

    Si aparece un mensaje de error que indica que la operación "Lista" no está habilitada en la directiva de acceso de este almacén de claves, debe configurar una directiva de acceso en el almacén de claves para permitir que la cuenta de usuario muestre certificados. Para más información, consulte Asignar una directiva de acceso de Key Vault (heredado).

  3. Elija Seleccionar.

  4. En el cuadro de diálogo Agregar certificado , junto a Identidad administrada, seleccione Sistema asignado. Si usa una identidad administrada asignada por el usuario, seleccione la identidad administrada asignada por el usuario en su lugar.

  5. Seleccione Agregar.

Nota:

Si aparece un mensaje de error, compruebe que a la identidad administrada se le asigna el rol Key Vault Secrets User para el almacén de claves.

Configuración de un dominio personalizado

Después de configurar el certificado, puede usarlo para ayudar a proteger el dominio personalizado. Siga los pasos descritos en Adición de un dominio y un certificado personalizados y seleccione el certificado que importó desde Key Vault.

Rotación de certificados

Al rotar el certificado en Key Vault, Container Apps actualiza automáticamente el certificado en su entorno. El nuevo certificado tarda hasta 12 horas en aplicarse.

Paso siguiente

Certificados en Azure Container Apps

  • Last updated on