Сертификаты и Среда службы приложений версии 2

  • Статья

Внимание

В этой статье описывается Среда службы приложений версии 2, которая используется с изолированными планами Служба приложений. Среда службы приложений версии 1 и 2 отставаются от 31 августа 2024 года. Имеется новая версия среды службы приложений, которая проще в использовании и которая работает на более мощной инфраструктуре. Чтобы узнать больше о новой версии, начните с изучения статьи Введение в Среду службы приложений. Если вы используете Среду службы приложений версии 1, выполните действия, описанные в этой статье, чтобы перейти на новую версию.

По состоянию на 31 августа 2024 года соглашение об уровне обслуживания (SLA) и кредиты на обслуживание больше не применяются к рабочим нагрузкам Среда службы приложений версии 1 и 2, которые продолжают работать, так как они являются устаревшими продуктами. Началось списание оборудования Среда службы приложений версии 1 и 2, и это может повлиять на доступность и производительность приложений и данных.

Необходимо выполнить миграцию в Среда службы приложений версии 3 немедленно или удалить приложения и ресурсы. Мы попытаемся выполнить автоматическую миграцию всех оставшихся Среда службы приложений версии 1 и 2 на основе оптимальной работы с помощью функции миграции на месте, но корпорация Майкрософт не утверждает или не гарантирует доступность приложений после автоматической миграции. Вам может потребоваться выполнить настройку вручную, чтобы завершить миграцию и оптимизировать выбор номера SKU плана Служба приложений в соответствии с вашими потребностями. Если автоматическая миграция невозможна, ваши ресурсы и связанные данные приложения будут удалены. Мы настоятельно призываем вас действовать сейчас, чтобы избежать любого из этих экстремальных сценариев.

Если вам потребуется дополнительное время, мы можем предложить одноразовый 30-дневный льготный период для завершения миграции. Дополнительные сведения и запросы на этот льготный период см. в обзоре льготного периода, а затем перейдите к портал Azure и перейдите в колонку "Миграция" для каждого Среда службы приложений.

Последние сведения об обновлении Среда службы приложений версии 1/2 см. в Среда службы приложений обновлении для выхода на пенсию версии 1 и версии 2.

Среда Службы приложений (ССП) — это реализация Службы приложений Azure в виртуальной сети Azure. Ее можно развернуть с помощью доступной из Интернета конечной точки приложения или конечной точки приложения, которая находится в виртуальной сети. Развертывание ССП с помощью конечной точки, доступной через Интернет, называется внешней средой ССП. Развертывание ASE с помощью конечной точки в виртуальной сети называется средой ASE с внутренней подсистемой балансировки нагрузки. Дополнительные сведения об ССП с подсистемой балансировки нагрузки см. в статье Создание и использование внутренней подсистемы балансировки нагрузки со средой Службы приложений.

Среда Службы приложений — это одноклиентская система. Так как это один клиент, существуют некоторые функции, доступные только с ASE, которые недоступны в мультитенантном Служба приложений.

Сертификаты ССП с внутренним балансировщиком нагрузки

Если вы используете внешнюю среду ASE, приложения достигаются по <имени> приложения.<asename.p.azurewebsites.net>. По умолчанию все среды ССП, даже среды ССП с внутренним балансировщиком нагрузки, создаются с помощью сертификатов, которые находятся в этом формате. При использовании ССП с внутренним балансировщиком нагрузки достигнуть приложения можно в зависимости от того, какое доменное имя указано при создании ССП с подсистемой балансировки нагрузки. Чтобы приложение поддерживало TLS, необходимо отправить сертификаты. Получите действующий сертификат TLS/SSL, используя внутренние центры сертификации, купив сертификат у внешнего эмитента или используя самозаверяющий сертификат.

Существует два варианта настройки сертификатов со средой ССП с подсистемой балансировки нагрузки. Можно задать подстановочный знак стандартного сертификата для среды ССП с подсистемой балансировки нагрузки или установить сертификаты на отдельных веб-приложениях в среде ССП. Независимо от источника SSL-сертификата, для него необходимо соответствующим образом настроить следующие атрибуты:

  • Subject — для этого атрибута необходимо задать значение *.[имя_корневого_домена] для подстановочного знака сертификата среды ССП с подсистемой балансировки нагрузки. Если сертификат для вашего приложения создан, он должен быть [имя_приложения].[имя_корневого_домена]
  • Альтернативное имя субъекта: этот атрибут должен включать оба .[ your-root-domain-here] and.scm.[ имя корневого домена] для сертификата ASE подсистемы балансировки нагрузки с подстановочными знаками. Если сертификат для вашего приложения создан, он должен быть [имя_приложения].[имя_корневого_домена] и [имя_приложения].scm.[имя_корневого_домена].

Как третий вариант можно создать сертификат ССП с подсистемой балансировки нагрузки, включающий все свои имена отдельных приложений в сети хранения данных сертификата вместо использования ссылки на подстановочный знак. Проблема с этим методом заключается в том, что перед именами приложений, которые вы помещаете в ASE, или необходимо обновить сертификат ASE балансировки нагрузки.

Отправка сертификата в ССП с подсистемой балансировки нагрузки

После создания ССП с подсистемой балансировки нагрузки на портале для этой среды необходимо задать сертификат. Пока сертификат не задан, ASE отобразит баннер, который сертификат не был задан.

Отправленный сертификат должен быть PFX-файлом. После отправки сертификата срок действия сертификата составляет около 20 минут до использования сертификата.

Вы не можете создать ASE и отправить сертификат как одно действие на портале или даже в одном шаблоне. Как отдельное действие можно отправить сертификат с помощью шаблона, как описано в статье Создание среды ССП с помощью шаблона.

Если вы хотите быстро создать самозаверяющий сертификат для тестирования, можно использовать следующую часть PowerShell:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.pfx"
Export-PfxCertificate -cert $certThumbprint -FilePath $fileName -Password $password

При создании самозаверяющего сертификата необходимо убедиться, что имя субъекта имеет формат CN={ASE_NAME_HERE}_InternalLoadBalancingASE.

сертификаты приложения.

Приложения, размещенные в ASE, могут использовать функции сертификатов, ориентированные на приложения, доступные в мультитенантном Служба приложений. Эти функции включают в себя следующее:

  • сертификаты SNI;
  • SSL на основе IP-адреса, который поддерживается только во внешней среде ССП; ASE подсистемы балансировки нагрузки не поддерживает SSL на основе IP-адресов.
  • сертификаты узла хранилища ключей.

Инструкции для загрузки и управления этими сертификатами доступны в руководстве Добавление сертификата TLS или SSL в службе приложений Azure. Если вы просто настраиваете сертификаты для сопоставления имени личного домена, назначенного веб-приложению, эти инструкции будут достаточно. Если вы отправляете сертификат для веб-приложения ASE с именем домена по умолчанию, укажите сайт scm в SAN сертификата, как указано ранее.

Параметры протокола TLS

Вы можете настроить параметр TLS на уровне приложения.

Сертификат частного клиента

Обычный вариант использования — настроить ваше приложение как клиент в модели клиент-сервер. Защищая сервер с помощью частного сертификата ЦС, нужно загрузить сертификат клиента в свое приложение. Приведенные ниже инструкции будут загружать сертификаты в truststore рабочих потоков, в которых запускается приложение. Если вы загружаете сертификат в одно приложение, вы можете использовать его с другими приложениями в том же плане Службы приложений, не загружая сертификат еще раз.

Чтобы загрузить сертификат в приложение в ССП, выполните действия, перечисленные ниже.

  1. Создайте файл CER для сертификата.
  2. Перейдите к приложению, которое требует сертификат на портале Azure
  3. Перейдите в параметры SSL в приложении. Щелкните "Отправить сертификат". Щелкните Общедоступный. Выберите "Локальный компьютер". Введите имя. Найдите и выберите ваш файл CER. Выберите "Передать".
  4. Скопируйте отпечаток.
  5. Выберите Параметры приложения. Создайте параметр приложения WEBSITE_LOAD_ROOT_CERTIFICATES с отпечатком как значение. Если у вас несколько сертификатов, можно поместить их в один параметр, разделив их запятыми без пробелов, например

84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

Сертификат будет доступен для всех приложений в одном плане Службы приложений как приложение, которое настроено для этого параметра. Если необходимо, чтобы оно было доступно для приложений в другом плане Служба приложений, необходимо повторить операцию "Настройка приложения" в приложении в этом плане Служба приложений. Чтобы проверить, что сертификат установлен, перейдите к консоли Kudu и отправьте следующую команду PowerShell:

dir cert:\localmachine\root

Чтобы выполнить тестирование, можно создать самозаверяющий сертификат и файл CER со следующей командой PowerShell.

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.cer"
export-certificate -Cert $certThumbprint -FilePath $fileName -Type CERT