Partilhar via

Importar certificados do Azure Key Vault para Aplicativos de Contêiner do Azure

Pode usar o Azure Key Vault para gerir centralmente certificados de Transport Layer Security (TLS) e Secure Sockets Layer (SSL) para a sua aplicação de contentores. O Key Vault pode gerir atualizações de certificados, renovações e monitorização.

Este artigo mostra-lhe como importar um certificado Key Vault para um ambiente Azure Container Apps.

Pré-requisitos

  • Um recurso Key Vault
  • Um certificado guardado no seu cofre de chaves

Para os passos para criar um cofre de chaves e adicionar um certificado, consulte Importar um certificado no Azure Key Vault ou Configurar autorrotação de certificados no Key Vault.

Exceções

As Aplicações Container suportam a maioria dos tipos de certificados. Mas há algumas exceções a ter em conta:

  • Os certificados P384 e P521 do Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) não são suportados.
  • Se quiseres usar um certificado do Azure App Service, precisas de usar o Azure CLI para o importar do Key Vault para o Container Apps. Este artigo mostra-lhe como usar o portal Azure para importar um certificado. Mas não pode usar o portal Azure para importar certificados de App Service, devido à forma como estes certificados são guardados no Key Vault.

Ative a identidade gerida para o seu ambiente Container Apps

O Container Apps utiliza uma identidade gerida ao nível do ambiente para aceder ao seu cofre de chaves e importar o seu certificado. Pode usar uma identidade atribuída pelo sistema ou uma identidade atribuída pelo utilizador para este propósito. Para usar uma identidade gerida atribuída pelo sistema, siga estes passos:

  1. Vai ao portal Azure e depois ao ambiente Container Apps onde queres importar um certificado.

  2. Selecione Configurações>de Identidade.

  3. Na aba Atribuído ao Sistema, ative a opção Status.

  4. Selecione Guardar. Quando aparecer a janela Ativar identidade gerida atribuída ao sistema , selecione Sim.

  5. Em Permissões, selecione atribuições de funções Azure para abrir a janela de atribuições de funções.

  6. Selecione Adicionar atribuição de função e depois selecione os seguintes valores:

    Property valor
    Âmbito Cofre da Chave
    Subscrição A sua subscrição do Azure
    Recurso O seu cofre de chaves
    Role Usuário do Key Vault Secrets

  7. Selecione Guardar.

O Key Vault oferece dois sistemas de autorização: controlo de acesso baseado em funções Azure (Azure RBAC) e um modelo de política de acesso legado. Para informações detalhadas sobre os dois sistemas, consulte controlo de acesso baseado em funções Azure (Azure RBAC) vs. políticas de acesso (legacy).

Importar um certificado do Cofre da Chave

Para importar um certificado do Key Vault para o ambiente da sua aplicação container, siga os passos nas secções seguintes.

Iniciar o processo

  1. No portal do Azure, vá para o ambiente do aplicativo de contêiner.

  2. Selecione Definições>Certificados.

  3. Vá ao separador Traga os seus próprios certificados (.pfx).

  4. Selecione Adicionar certificado.

Adicione o certificado

  1. No diálogo Adicionar certificado , ao lado de Fonte, selecione Importar do Cofre de Chaves.

  2. Selecione Selecionar certificado de cofre de chaves e depois selecione os seguintes valores:

    Property valor
    Subscrição A sua subscrição do Azure
    Key Vault O seu cofre de chaves
    Certificado O seu certificado

    Nota

    Se aparecer uma mensagem de erro a dizer: "A operação 'List' não está ativada na política de acesso deste cofre de chaves", precisa de configurar uma política de acesso no seu cofre de chaves para permitir que a sua conta de utilizador liste os certificados. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave (legado).

  3. Selecione Selecionar.

  4. No diálogo Adicionar certificado , ao lado de Identidade Gerida, selecione Sistema atribuído. Se estiver a usar uma identidade gerida atribuída pelo utilizador, selecione a sua identidade gerida atribuída pelo utilizador.

  5. Selecione Adicionar.

Nota

Se aparecer uma mensagem de erro, verifique se a identidade gerida está atribuída ao papel de Utilizador Key Vault Secrets para o seu cofre de chaves.

Configurar um domínio personalizado

Depois de configurar o seu certificado, pode usá-lo para ajudar a proteger o seu domínio personalizado. Siga os passos em Adicionar um domínio e certificado personalizados, e selecione o certificado que importou do Key Vault.

Rodar certificados

Quando gira o seu certificado no Cofre de Chaves, o Container Apps atualiza automaticamente o certificado no seu ambiente. O novo certificado demora até 12 horas a ser aplicado.

Próximo passo

Certificados em Aplicativos de Contêiner do Azure

  • Last updated on