Übersicht über Zertifikate für Azure Cloud Services (klassisch)

Zertifikate werden in Azure für Clouddienste verwendet (Dienstzertifikate) und für die Authentifizierung mit der Verwaltungs-API genutzt (Verwaltungszertifikate). Dieses Thema bietet eine allgemeine Übersicht über beide Zertifikattypen sowie über deren Erstellung und Bereitstellung in Azure.

Die in Azure verwendeten Zertifikate sind X.509 v3-Zertifikate und können von einem anderen vertrauenswürdigen Zertifikat signiert werden oder selbstsigniert sein. Ein selbstsigniertes Zertifikat wird vom eigenen Ersteller signiert und ist daher standardmäßig nicht vertrauenswürdig. Die meisten Browser können dieses Problem ignorieren. Selbstsignierte Zertifikate sollten Sie nur beim Entwickeln und Testen Ihrer Clouddienste verwenden.

Die in Azure verwendeten Zertifikate können einen öffentlichen Schlüssel enthalten. Zertifikate verfügen über einen Fingerabdruck, durch den sie eindeutig identifiziert werden. Mithilfe dieses Fingerabdrucks wird in der Azure- Konfigurationsdatei ermittelt, welches Zertifikat ein Clouddienst verwenden soll.

Was sind Dienstzertifikate?

Dienstzertifikate werden an Clouddienste angefügt und ermöglichen die sichere Kommunikation zu und von den Diensten. Wenn Sie beispielsweise eine Webrolle bereitgestellt haben, sollten Sie ein Zertifikat angeben, das einen verfügbar gemachten HTTPS-Endpunkt authentifizieren kann. Dienstzertifikate, die in der Dienstdefinition definiert sind, werden automatisch auf dem virtuellen Computer bereitgestellt, auf dem eine Instanz der Rolle ausgeführt wird.

Sie können Dienstzertifikate entweder über das Azure-Portal oder mithilfe des klassischen Bereitstellungsmodells in Azure hochladen. Dienstzertifikate sind einem bestimmten Clouddienst zugeordnet. Sie sind einer Bereitstellung in der Dienstdefinitionsdatei zugewiesen.

Dienstzertifikate können gesondert von Ihren Diensten sowie von verschiedenen Personen verwaltet werden. Beispielsweise kann ein Entwickler ein Dienstpaket hochladen, das auf ein Zertifikat verweist, das ein IT-Manager zuvor in Azure hochgeladen hat. Ein IT-Manager kann dieses Zertifikat verwalten und erneuern (die Konfiguration des Diensts ändern), ohne ein neues Dienstpaket hochladen zu müssen. Das Aktualisieren ohne ein neues Dienstpaket ist möglich, da der logische Name, der Speichername und der Speicherort des Zertifikats in der Dienstdefinitionsdatei angegeben sind, während der Zertifikatfingerabdruck in der Dienstkonfigurationsdatei angegeben ist. Um das Zertifikat zu aktualisieren, muss lediglich ein neues Zertifikat hochgeladen und der Fingerabdruckwert in der Dienstkonfigurationsdatei geändert werden.

Was sind Verwaltungszertifikate?

Verwaltungszertifikate ermöglichen Ihnen die Authentifizierung mit dem klassischen Bereitstellungsmodell. Diese Zertifikate werden in vielen Programmen und Tools (z.B. Visual Studio oder Azure SDK) zum Automatisieren der Konfiguration und Bereitstellung verschiedener Azure-Dienste verwendet. Diese stehen eigentlich nicht in Zusammenhang mit Clouddiensten.

Einschränkungen

Pro Abonnement sind maximal 100 Verwaltungszertifikate zulässig. Ebenso sind maximal 100 Verwaltungszertifikate für alle Abonnements unter der Benutzer-ID eines bestimmten Dienstadministrators zulässig. Wenn über die Benutzer-ID für den Kontoadministrator bereits 100 Verwaltungszertifikate hinzugefügt wurden und weitere Zertifikate benötigt werden, können Sie einen Co-Administrator festlegen, um die zusätzlichen Zertifikate hinzuzufügen.

Darüber hinaus können Verwaltungszertifikate nicht mit CSP-Abonnements verwendet werden, da CSP-Abonnements nur das Azure Resource Manager-Bereitstellungsmodell unterstützen und Verwaltungszertifikate das klassische Bereitstellungsmodell verwenden. Weitere Informationen zu Ihren Optionen für CSP-Abonnements finden Sie unter Azure Resource Manager vs. klassisches Bereitstellungsmodell und Authentifizierung mit dem Azure SDK für .NET verstehen.

Erstellen eines neuen selbstsignierten Zertifikats

Ein selbstsigniertes Zertifikat können Sie mit allen verfügbaren Tools erstellen, sofern die folgenden Einstellungen beachtet werden:

• Es muss sich um ein X.509-Zertifikat handeln.

• Es enthält einen öffentlichen Schlüssel.

• Es ist für den Schlüsselaustausch erstellt (PFX-Datei).

• Der Name des Antragstellers muss der Domäne entsprechen, über die auf den Clouddienst zugegriffen wird.

  Sie können kein TLS/SSL-Zertifikat für die Domäne „cloudapp.net“ (oder für eine andere Domäne in Zusammenhang mit Azure) beziehen; der Name des Antragstellers für das Zertifikat muss mit dem benutzerdefinierten Domänennamen übereinstimmen, mit dem auf Ihre Anwendung zugegriffen wird. Beispielsweise contoso.net, nicht contoso.cloudapp.net.

• Mindestens 2048-Bit-Verschlüsselung.

• Nur Dienstzertifikat: Das clientseitige Zertifikat muss sich im persönlichen Zertifikatspeicher befinden.

Es gibt zwei einfache Möglichkeiten zum Erstellen eines Zertifikats unter Windows: mithilfe des Dienstprogramms makecert.exe oder mit IIS.

makecert.exe

Dieses Hilfsprogramm ist veraltet und wird hier nicht länger beschrieben. Weitere Informationen dazu finden Sie in diesem MSDN-Artikel.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Wenn Sie dieses Zertifikat mit dem Verwaltungsportalverwenden möchten, exportieren Sie es in eine CER -Datei:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internetinformationsdienste (IIS)

Im Internet wird auf vielen Seiten erläutert, wie mit IIS Zertifikate erstellt werden können. Hier eine Seite, auf der dies nach meinem Empfinden anschaulich erklärt wird.

Linux

diesem Artikel wird beschrieben, wie Zertifikate mit SSH erstellt werden.

Nächste Schritte

Hochladen des Dienstzertifikats in das Azure-Portal.

Hochladen des Verwaltungs-API-Zertifikats in das Azure-Portal.