Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser Azure Key Vault pour gérer de manière centralisée les certificats TLS (Transport Layer Security) et SSL (Secure Sockets Layer) pour votre application conteneur. Key Vault peut gérer les mises à jour, les renouvellements et la surveillance des certificats.
Cet article explique comment importer un certificat Key Vault dans un environnement Azure Container Apps.
Prérequis
- Ressource Coffre de clés
- Un certificat stocké dans votre coffre de clés
Pour connaître les étapes de création d’un coffre de clés et d’ajout d’un certificat, consultez Importer un certificat dans Azure Key Vault ou configurer l’autorotation de certificat dans Key Vault.
Exceptions
Container Apps prend en charge la plupart des types de certificats. Mais il existe quelques exceptions à garder à l’esprit :
- Les certificats EcDSA (Elliptic Curve Digital Signature Algorithm) p384 et p521 ne sont pas pris en charge.
- Si vous souhaitez utiliser un certificat Azure App Service, vous devez utiliser Azure CLI pour l’importer à partir de Key Vault dans Container Apps. Cet article vous montre comment utiliser le portail Azure pour importer un certificat. Toutefois, vous ne pouvez pas utiliser le portail Azure pour importer des certificats App Service, en raison de la façon dont ces certificats sont enregistrés dans Key Vault.
Activer l’identité managée pour votre environnement Container Apps
Container Apps utilise une identité managée au niveau de l’environnement pour accéder à votre coffre de clés et importer votre certificat. Vous pouvez utiliser une identité affectée par le système ou une identité affectée par l’utilisateur à cet effet. Pour utiliser une identité managée affectée par le système, procédez comme suit :
Accédez au portail Azure, puis accédez à l’environnement Container Apps dans lequel vous souhaitez importer un certificat.
Sélectionnez Paramètres>Identité.
Sous l’onglet Affecté au système, activez le commutateur Statut.
Sélectionnez Enregistrer. Lorsque la fenêtre Activer l’identité managée affectée par le système s’affiche, sélectionnez Oui.
Sous Autorisations, sélectionnez Les attributions de rôles Azure pour ouvrir la fenêtre attributions de rôles.
Sélectionnez Ajouter une attribution de rôle, puis sélectionnez les valeurs suivantes :
Propriété Valeur Étendue Coffre-fort de clés Abonnement Votre abonnement Azure Ressource Votre coffre de clés Role Utilisateur des secrets Key Vault Sélectionnez Enregistrer.
Key Vault offre deux systèmes d’autorisation : le contrôle d’accès en fonction du rôle Azure (Azure RBAC) et un modèle de stratégie d’accès hérité. Pour plus d’informations sur les deux systèmes, consultez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) et les stratégies d’accès (héritées).
Importer un certificat à partir de Key Vault
Pour importer un certificat à partir de Key Vault dans votre environnement d’application conteneur, procédez comme suit.
Lancer le processus
Accédez à votre environnement application conteneur dans le Portail Azure.
Sélectionnez Paramètres>Certificats.
Accédez à l’onglet Bring your own certificates (.pfx).
Sélectionnez Ajouter un certificat.
Ajouter le certificat
Dans la boîte de dialogue Ajouter un certificat , en regard de Source, sélectionnez Importer dans Key Vault.
Sélectionnez Sélectionner un certificat de coffre de clés, puis sélectionnez les valeurs suivantes :
Propriété Valeur Abonnement Votre abonnement Azure Coffre de clés Votre coffre de clés Certificat Votre certificat Remarque
Si un message d’erreur s’affiche, « L’opération « Liste » n’est pas activée dans la stratégie d’accès de ce coffre de clés », vous devez configurer une stratégie d’accès dans votre coffre de clés pour autoriser votre compte d’utilisateur à répertorier les certificats. Pour plus d’informations, consultez Affecter une stratégie d’accès Key Vault (héritée).
Sélectionnez Sélectionner.
Dans la boîte de dialogue Ajouter un certificat , en regard de l’identité managée, sélectionnez Système affecté. Si vous utilisez une identité managée affectée par l’utilisateur, sélectionnez plutôt votre identité managée affectée par l’utilisateur.
Sélectionnez Ajouter.
Remarque
Si un message d’erreur s’affiche, vérifiez que l’identité managée est affectée au rôle d’utilisateur secrets Key Vault pour votre coffre de clés.
Configuration d’un domaine personnalisé
Après avoir configuré votre certificat, vous pouvez l’utiliser pour sécuriser votre domaine personnalisé. Suivez les étapes décrites dans Ajouter un domaine personnalisé et un certificat, puis sélectionnez le certificat que vous avez importé à partir de Key Vault.
Effectuer une rotation des certificats
Lorsque vous faites pivoter votre certificat dans Key Vault, Container Apps met automatiquement à jour le certificat dans votre environnement. L’application du nouveau certificat prend jusqu’à 12 heures.