Usare i certificati TLS/SSL nell'applicazione in Azure Spring Apps

Nota

I piani Basic, Standard ed Enterprise saranno deprecati a partire dalla metà di marzo 2025, con un periodo di ritiro di 3 anni. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere l'annuncio di ritiro di Azure Spring Apps.

Il piano Standard a consumo e dedicato sarà deprecato a partire dal 30 settembre 2024, con un arresto completo dopo sei mesi. È consigliabile eseguire la transizione ad App Azure Container. Per altre informazioni, vedere Eseguire la migrazione del consumo di Azure Spring Apps Standard e del piano dedicato alle app Azure Container.

Questo articolo si applica a: ✔️ Basic/Standard ✔️ Enterprise

Questo articolo illustra come usare i certificati pubblici in Azure Spring Apps per l'applicazione. L'app può fungere da client e accedere a un servizio esterno che richiede l'autenticazione del certificato oppure potrebbe dover eseguire attività di crittografia.

Quando si consente ad Azure Spring Apps di gestire i certificati TLS/SSL, è possibile tenere separati i certificati e il codice dell'applicazione per proteggere i dati sensibili. Il codice dell'app può accedere ai certificati pubblici aggiunti all'istanza di Azure Spring Apps.

Prerequisiti

Importare un certificato

È possibile scegliere di importare il certificato nell'istanza di Azure Spring Apps da Key Vault o usare un file di certificato locale.

Importazione di un certificato da Key Vault

Prima di importare il certificato, è necessario concedere ad Azure Spring Apps l'accesso all'insieme di credenziali delle chiavi.

Azure Key Vault offre due sistemi di autorizzazione: il controllo degli accessi in base al ruolo di Azure, che opera sul piano di controllo e sul piano dati di Azure e il modello dei criteri di accesso, che opera solo sul piano dati.

Per concedere l'accesso, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Selezionare Insiemi di credenziali delle chiavi, quindi selezionare l'insieme di credenziali delle chiavi da cui si importa il certificato.

  3. Nel riquadro di spostamento selezionare Criteri di accesso e quindi selezionare Crea.

  4. Selezionare Autorizzazioni certificato, quindi Selezionare Recupera ed Elenco.

    Screenshot del portale di Azure che mostra la pagina Crea criteri di accesso con il riquadro Autorizzazioni che mostra le autorizzazioni Recupera ed Elenco evidenziate.

  5. In Entità selezionare Provider di risorse Azure Spring Cloud.

    Screenshot del portale di Azure che mostra la scheda Entità della pagina Crea criteri di accesso con Provider di risorse Azure Spring Cloud evidenziato.

  6. Selezionare Rivedi e crea e quindi Crea.

Dopo aver concesso l'accesso all'insieme di credenziali delle chiavi, è possibile importare il certificato seguendo questa procedura:

  1. Passare all'istanza del servizio.

  2. Nel riquadro di spostamento sinistro dell'istanza selezionare Impostazioni TLS/SSL.

  3. Selezionare Importa certificato dell'insieme di credenziali delle chiavi nella sezione Certificati a chiave pubblica.

  4. Selezionare l'insieme di credenziali delle chiavi nella sezione Insiemi di credenziali delle chiavi, selezionare il certificato nella sezione Certificato e quindi selezionare Seleziona.

  5. Specificare un valore per Nome certificato, selezionare Abilita sincronizzazione automatica, se necessario, quindi selezionare Applica. Per altre informazioni, vedere la sezione Certificato di sincronizzazione automatica di Eseguire il mapping di un dominio personalizzato esistente ad Azure Spring Apps.

Dopo aver importato correttamente il certificato, viene visualizzato nell'elenco dei certificati a chiave pubblica.

Nota

Le istanze di Azure Key Vault e Azure Spring Apps devono trovarsi nello stesso tenant.

Importare un file di certificato locale

È possibile importare un file di certificato archiviato localmente seguendo questa procedura:

  1. Passare all'istanza del servizio.
  2. Nel riquadro di spostamento sinistro dell'istanza selezionare Impostazioni TLS/SSL.
  3. Selezionare Carica certificato pubblico nella sezione Certificati a chiave pubblica.

Dopo aver importato correttamente il certificato, viene visualizzato nell'elenco dei certificati a chiave pubblica.

Caricare un certificato

Per caricare un certificato nell'applicazione in Azure Spring Apps, iniziare con questa procedura:

  1. Passare all'istanza dell'applicazione.
  2. Nel riquadro di spostamento sinistro dell'app selezionare Gestione certificati.
  3. Selezionare Aggiungi certificato per scegliere i certificati accessibili per l'app.

Screenshot del portale di Azure che mostra la pagina Gestione certificati con il pulsante Aggiungi certificato evidenziato.

Caricare un certificato dal codice

I certificati caricati sono disponibili nella cartella /etc/azure-spring-cloud/certs/public. Usare il codice Java seguente per caricare un certificato pubblico in un'applicazione in Azure Spring Apps.

CertificateFactory factory = CertificateFactory.getInstance("X509");
FileInputStream is = new FileInputStream("/etc/azure-spring-cloud/certs/public/<certificate name>");
X509Certificate cert = (X509Certificate) factory.generateCertificate(is);

// use the loaded certificate

Caricare un certificato nell'archivio attendibilità

Per un'applicazione Java, è possibile scegliere Carica nell'archivio attendibilità per il certificato selezionato. Il certificato viene aggiunto automaticamente agli archivi attendibili predefiniti Java per autenticare un server nell'autenticazione TLS/SSL.

Il log seguente dell'app mostra che il certificato è stato caricato correttamente.

Load certificate from specific path. alias = <certificate alias>, thumbprint = <certificate thumbprint>, file = <certificate name>

Passaggi successivi