Udostępnij przez

Importowanie certyfikatów z usługi Azure Key Vault do usługi Azure Container Apps

Za pomocą usługi Azure Key Vault można centralnie zarządzać certyfikatami Transport Layer Security (TLS) i Secure Sockets Layer (SSL) dla aplikacji kontenera. Usługa Key Vault może obsługiwać aktualizacje certyfikatów, odnawianie i monitorowanie.

W tym artykule pokazano, jak zaimportować certyfikat usługi Key Vault do środowiska usługi Azure Container Apps.

Wymagania wstępne

  • Zasób usługi Key Vault
  • Certyfikat przechowywany w magazynie kluczy

Aby uzyskać instrukcje tworzenia magazynu kluczy i dodawania certyfikatu, zobacz Importowanie certyfikatu w usłudze Azure Key Vault lub Konfigurowanie automatycznego odnawiania certyfikatu w usłudze Key Vault.

Wyjątki

Usługa Container Apps obsługuje większość typów certyfikatów. Należy jednak pamiętać o kilku wyjątkach:

  • Certyfikaty (Elliptic Curve Digital Signature Algorithm - ECDSA) p384 i p521 nie są obsługiwane.
  • Jeśli chcesz użyć certyfikatu usługi Azure App Service, musisz użyć interfejsu wiersza polecenia platformy Azure, aby zaimportować go z usługi Key Vault do usługi Container Apps. W tym artykule pokazano, jak zaimportować certyfikat przy użyciu witryny Azure Portal. Nie można jednak użyć witryny Azure Portal do zaimportowania certyfikatów usługi App Service ze względu na sposób zapisywania tych certyfikatów w usłudze Key Vault.

Włącz tożsamość zarządzaną dla środowiska usługi Container Apps

Usługa Container Apps używa tożsamości zarządzanej na poziomie środowiska do uzyskiwania dostępu do magazynu kluczy i importowania certyfikatu. W tym celu można użyć tożsamości przypisanej przez system lub tożsamości przypisanej przez użytkownika. Aby użyć tożsamości zarządzanej przypisanej przez system, wykonaj następujące kroki:

  1. Przejdź do witryny Azure Portal, a następnie przejdź do środowiska Container Apps, do którego chcesz zaimportować certyfikat.

  2. Wybierz pozycję Ustawienia>Tożsamość.

  3. Na karcie Przypisane przez system włącz przełącznik Status.

  4. Wybierz pozycję Zapisz. Po wyświetleniu okna Włącz tożsamość zarządzaną przypisaną przez system wybierz pozycję Tak.

  5. W obszarze Uprawnienia wybierz pozycję Przypisania ról platformy Azure , aby otworzyć okno przypisań ról.

  6. Wybierz pozycję Dodaj przypisanie roli, a następnie wybierz następujące wartości:

    Właściwości Wartość
    Scope Key Vault
    Subskrypcja Twoja subskrypcja platformy Azure
    Zasób Magazyn kluczy
    Rola Użytkownik sekretów Key Vault

  7. Wybierz pozycję Zapisz.

Usługa Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure i starszy model zasad dostępu. Aby uzyskać szczegółowe informacje o dwóch systemach, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure a zasady dostępu (starsza wersja).

Importowanie certyfikatu z usługi Key Vault

Aby zaimportować certyfikat z usługi Key Vault do środowiska aplikacji kontenera, wykonaj kroki opisane w poniższych sekcjach.

Inicjowanie procesu

  1. W witrynie Azure Portal przejdź do środowiska aplikacji kontenera.

  2. Wybierz pozycję Ustawienia>Certyfikaty.

  3. Przejdź do karty Bring your own certificates (.pfx).

  4. Wybierz pozycję Dodaj certyfikat.

Dodawanie certyfikatu

  1. W oknie dialogowym Dodawanie certyfikatu obok pozycji Źródło wybierz pozycję Importuj z usługi Key Vault.

  2. Wybierz Wybierz certyfikat Key Vault, a następnie wybierz następujące wartości:

    Właściwości Wartość
    Subskrypcja Twoja subskrypcja platformy Azure
    Magazyn kluczy Magazyn kluczy
    Certyfikat Certyfikat

    Uwaga

    Jeśli pojawi się komunikat o błędzie "Operacja 'List' nie jest włączona w zasadach dostępu tego magazynu kluczy", należy skonfigurować zasady dostępu w magazynie kluczy, aby umożliwić Twojemu kontu użytkownika wyświetlanie certyfikatów. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu usługi Key Vault (starsza wersja).

  3. Wybierz pozycję Wybierz.

  4. W oknie dialogowym Dodawanie certyfikatu obok pozycji Tożsamość zarządzana wybierz pozycję Przypisany system. Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika, wybierz tożsamość zarządzaną przypisaną przez użytkownika.

  5. Wybierz Dodaj.

Uwaga

Jeśli zostanie wyświetlony komunikat o błędzie, sprawdź, czy tożsamość zarządzana jest przypisana do roli Użytkownik sekretnych danych Key Vault dla Key Vault.

Konfigurowanie domeny niestandardowej

Po skonfigurowaniu certyfikatu można go użyć do zabezpieczenia domeny niestandardowej. Wykonaj kroki opisane w temacie Dodawanie domeny niestandardowej i certyfikatu, a następnie wybierz certyfikat zaimportowany z usługi Key Vault.

Wymiana certyfikatów

Po rotacji certyfikatu w usłudze Key Vault usługa Container Apps automatycznie aktualizuje certyfikat w danym środowisku. Zastosowanie nowego certyfikatu może potrwać do 12 godzin.

Następny krok

Certyfikaty w usłudze Azure Container Apps

  • Last updated on