Übersicht über Zertifikate für Azure Cloud Services (klassisch)

Wichtig

Cloud Services (klassisch) ist jetzt ab dem 1. September 2024 für alle Kunden veraltet. Alle vorhandenen ausgeführten Bereitstellungen werden beendet und von Microsoft heruntergefahren, und die Daten gehen ab Oktober 2024 dauerhaft verloren. In neuen Bereitstellungen sollte das neue auf Azure Resource Manager basierende Bereitstellungsmodell für Azure Cloud Services (erweiterter Support) verwendet werden.

Zertifikate werden in Azure für Clouddienste verwendet (Dienstzertifikate) und für die Authentifizierung mit der Verwaltungs-API genutzt (Verwaltungszertifikate). In diesem Artikel finden Sie eine allgemeine Übersicht über beide Zertifikattypen, wie Sie sie erstellen und in Azure bereitstellen.

Bei in Azure verwendeten Zertifikaten handelt es sich um x.509 v3-Zertifikate. Sie können sich selbst signieren oder von einem anderen vertrauenswürdigen Zertifikat signiert werden. Ein Zertifikat ist selbstsigniert, wenn sein Ersteller es signiert. Selbstsignierte Zertifikate sind standardmäßig nicht vertrauenswürdig, aber die meisten Browser können dieses Problem ignorieren. Selbstsignierte Zertifikate sollten Sie nur beim Entwickeln und Testen Ihrer Clouddienste verwenden.

Die in Azure verwendeten Zertifikate können einen öffentlichen Schlüssel enthalten. Zertifikate verfügen über einen Fingerabdruck, durch den sie eindeutig identifiziert werden. Mithilfe dieses Fingerabdrucks wird in der Azure- Konfigurationsdatei ermittelt, welches Zertifikat ein Clouddienst verwenden soll.

Hinweis

Azure Cloud Services akzeptiert keine mit AES256-SHA256 verschlüsselten Zertifikate.

Was sind Dienstzertifikate?

Dienstzertifikate werden an Clouddienste angefügt und ermöglichen die sichere Kommunikation zu und von den Diensten. Wenn Sie beispielsweise eine Webrolle bereitgestellt haben, sollten Sie ein Zertifikat angeben, das einen verfügbar gemachten HTTPS-Endpunkt authentifizieren kann. Dienstzertifikate, die in der Dienstdefinition definiert sind, werden automatisch auf dem virtuellen Computer bereitgestellt, auf dem eine Instanz der Rolle ausgeführt wird.

Sie können Dienstzertifikate entweder über das Azure-Portal oder mithilfe des klassischen Bereitstellungsmodells in Azure hochladen. Dienstzertifikate sind einem bestimmten Clouddienst zugeordnet. Die Dienstdefinitionsdatei weist sie einer Bereitstellung zu.

Dienstzertifikate können gesondert von Ihren Diensten sowie von verschiedenen Personen verwaltet werden. Beispielsweise kann ein Entwickler ein Dienstpaket mit einem Verweis auf ein Zertifikat hochladen, das ein IT-Manager zuvor in Azure hochgeladen hat. Ein IT-Manager kann dieses Zertifikat verwalten und erneuern (die Konfiguration des Diensts ändern), ohne ein neues Dienstpaket hochladen zu müssen. Das Aktualisieren ohne ein neues Dienstpaket ist möglich, da der logische Name, der Speichername und der Speicherort des Zertifikats in der Dienstdefinitionsdatei angegeben sind, während der Zertifikatfingerabdruck in der Dienstkonfigurationsdatei angegeben ist. Um das Zertifikat zu aktualisieren, muss lediglich ein neues Zertifikat hochgeladen und der Fingerabdruckwert in der Dienstkonfigurationsdatei geändert werden.

Hinweis

Der Artikel Häufig gestellte Fragen zu Cloud Services: Konfiguration und Verwaltung enthält einige nützliche Informationen zu Zertifikaten.

Was sind Verwaltungszertifikate?

Verwaltungszertifikate ermöglichen Ihnen die Authentifizierung mit dem klassischen Bereitstellungsmodell. Diese Zertifikate werden in vielen Programmen und Tools (z.B. Visual Studio oder Azure SDK) zum Automatisieren der Konfiguration und Bereitstellung verschiedener Azure-Dienste verwendet. Diese Zertifikate gehören nicht zu Cloud Services.

Warnung

Vorsicht ist geboten! Alle Personen, die die Authentifizierung mit diesen Zertifikaten durchführen, können das zugeordnete Abonnement verwalten.

Begrenzungen

Pro Abonnement sind maximal 100 Verwaltungszertifikate zulässig. Ebenso sind maximal 100 Verwaltungszertifikate für alle Abonnements mit der Benutzer-ID eines bestimmten Dienstadministrators zulässig. Wenn über die Benutzer-ID des Kontoadministrators bereits 100 Verwaltungszertifikate hinzugefügt wurden und weitere Zertifikate benötigt werden, können Sie einen Co-Administrator erstellen, um weitere Zertifikate hinzuzufügen.

Darüber hinaus können Verwaltungszertifikate nicht mit CSP-Abonnements (Cloud Solution Provider) verwendet werden, da diese nur das Azure Resource Manager-Bereitstellungsmodell unterstützen. Verwaltungszertifikate nutzen das klassische Bereitstellungsmodell. Weitere Informationen zu Ihren Optionen für CSP-Abonnements finden Sie unter Azure Resource Manager vs. klassisches Bereitstellungsmodell und Authentifizierung mit dem Azure SDK für .NET verstehen.

Erstellen eines neuen selbstsignierten Zertifikats

Ein selbstsigniertes Zertifikat können Sie mit allen verfügbaren Tools erstellen, sofern die folgenden Einstellungen beachtet werden:

  • Es muss sich um ein X.509-Zertifikat handeln.

  • Es enthält einen öffentlichen Schlüssel.

  • Es ist für den Schlüsselaustausch erstellt (PFX-Datei).

  • Der Name des Antragstellers muss der Domäne entsprechen, über die auf den Clouddienst zugegriffen wird.

    Sie können kein TLS/SSL-Zertifikat für die Domäne „cloudapp.net“ (oder für eine andere Domäne in Zusammenhang mit Azure) beziehen; der Name des Antragstellers für das Zertifikat muss mit dem benutzerdefinierten Domänennamen übereinstimmen, mit dem auf Ihre Anwendung zugegriffen wird. Beispielsweise contoso.net, nicht contoso.cloudapp.net.

  • Mindestens 2048-Bit-Verschlüsselung.

  • Nur Dienstzertifikat: Das clientseitige Zertifikat muss sich im persönlichen Zertifikatspeicher befinden.

Es gibt zwei einfache Möglichkeiten zum Erstellen eines Zertifikats unter Windows: mithilfe des Dienstprogramms makecert.exe oder mit IIS.

makecert.exe

Dieses Hilfsprogramm wurde eingestellt und wird hier nicht mehr dokumentiert. Weitere Informationen finden Sie in diesem MSDN-Artikel.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Hinweis

Wenn Sie das Zertifikat mit einer IP-Adresse anstelle einer Domäne verwenden möchten, verwenden Sie die IP-Adresse im Parameter -DnsName.

Wenn Sie dieses Zertifikat mit dem Verwaltungsportalverwenden möchten, exportieren Sie es in eine CER -Datei:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internetinformationsdienste (IIS)

Auf vielen Seiten im Internet wird das Erstellen von Zertifikaten mit IIS behandelt, z. B. Wann Sie ein selbstsigniertes IIS-Zertifikat verwenden sollten.

Linux

In QuickSteps: Erstellen und Verwenden eines SSH-Schlüsselpaars aus öffentlichem/privatem Schlüssel für Linux-VMs in Azure wird beschrieben, wie Zertifikate mit SSH erstellt werden.

Nächste Schritte

Hochladen des Dienstzertifikats in das Azure-Portal.

Hochladen des Verwaltungs-API-Zertifikats in das Azure-Portal.