Azure Cloud Services’de sertifikalara genel bakış (klasik)

Sertifikalar Azure'da bulut hizmetleri (hizmet sertifikaları) ve yönetim API'si (yönetim sertifikaları) ile kimlik doğrulaması için kullanılır. Bu konu başlığında her iki sertifika türüne de genel bir genel bakış ve bunların Azure'a nasıl oluşturulacağı ve dağıtılacağı anlatılmaktadır.

Azure'da kullanılan sertifikalar x.509 v3 sertifikalarıdır ve başka bir güvenilen sertifika tarafından imzalanabilir veya otomatik olarak imzalanabilir. Otomatik olarak imzalanan sertifika kendi oluşturucusu tarafından imzalanır, bu nedenle varsayılan olarak güvenilir değildir. Tarayıcıların çoğu bu sorunu yok sayabilir. Otomatik olarak imzalanan sertifikaları yalnızca bulut hizmetlerinizi geliştirirken ve test ederken kullanmanız gerekir.

Azure tarafından kullanılan sertifikalar ortak anahtar içerebilir. Sertifikaların, belirsiz bir şekilde tanımlanması için bir araç sağlayan bir parmak izi vardır. Bu parmak izi, bir bulut hizmetinin hangi sertifikayı kullanması gerektiğini belirlemek için Azure yapılandırma dosyasında kullanılır.

Hizmet sertifikaları nelerdir?

Hizmet sertifikaları, bulut hizmetlerine iliştirilir ve hizmete ve hizmetten güvenli iletişimi etkinleştirir. Örneğin, bir web rolü dağıttıysanız, kullanıma sunulan https uç noktasının kimliğini doğrulayan bir sertifika sağlamak isteyebilirsiniz. Hizmet tanımınızda tanımlanan hizmet sertifikaları, rolünüzün bir örneğini çalıştıran sanal makineye otomatik olarak dağıtılır.

Hizmet sertifikalarını Azure portalı veya klasik dağıtım modelini kullanarak Azure'a yükleyebilirsiniz. Hizmet sertifikaları belirli bir bulut hizmeti ile ilişkilendirilir. Bunlar, hizmet tanımı dosyasındaki bir dağıtıma atanır.

Hizmet sertifikaları hizmetlerinizden ayrı olarak yönetilebilir ve farklı kişiler tarafından yönetilebilir. Örneğin, bir geliştirici BT yöneticisinin daha önce Azure'a yüklemiş olduğu bir sertifikaya başvuran bir hizmet paketini karşıya yükleyebilir. BT yöneticisi, yeni bir hizmet paketini karşıya yüklemeye gerek kalmadan bu sertifikayı yönetebilir ve yenileyebilir (hizmetin yapılandırmasını değiştirerek). Sertifikanın mantıksal adı, depo adı ve konumu hizmet tanımı dosyasında olduğundan ve sertifika parmak izi hizmet yapılandırma dosyasında belirtildiğinden, yeni bir hizmet paketi olmadan güncelleştirme yapılabilir. Sertifikayı güncelleştirmek için yalnızca yeni bir sertifika yüklemeniz ve hizmet yapılandırma dosyasındaki parmak izi değerini değiştirmeniz gerekir.

Yönetim sertifikaları nelerdir?

Yönetim sertifikaları, klasik dağıtım modeliyle kimlik doğrulaması yapmanıza izin verir. Birçok program ve araç (Visual Studio veya Azure SDK gibi), çeşitli Azure hizmetlerinin yapılandırılmasını ve dağıtımını otomatik hale getirmek için bu sertifikaları kullanır. Bunlar gerçekten bulut hizmetleriyle ilgili değildir.

Sınırlamalar

Abonelik başına 100 yönetim sertifikası sınırı vardır. Ayrıca, belirli bir hizmet yöneticisinin kullanıcı kimliği altındaki tüm abonelikler için 100 yönetim sertifikası sınırı vardır. Hesap yöneticisinin kullanıcı kimliği 100 yönetim sertifikası eklemek için zaten kullanıldıysa ve daha fazla sertifika gerekiyorsa, ek sertifikaları eklemek için bir ortak yönetici ekleyebilirsiniz.

Ayrıca, CSP abonelikleri yalnızca Azure Resource Manager dağıtım modelini desteklediğinden ve yönetim sertifikaları klasik dağıtım modelini kullandığından yönetim sertifikaları CSP abonelikleriyle kullanılamaz. CSP aboneliklerine yönelik seçenekleriniz hakkında daha fazla bilgi için Azure Resource Manager ve klasik dağıtım modeline ve .NET için Azure SDK ile Kimlik Doğrulamasını Anlama'ya başvurun.

Otomatik olarak imzalanan yeni bir sertifika oluşturma

Bu ayarlara bağlı oldukları sürece otomatik olarak imzalanan bir sertifika oluşturmak için kullanılabilecek herhangi bir aracı kullanabilirsiniz:

• X.509 sertifikası.

• Ortak anahtar içerir.

• Anahtar değişimi (.pfx dosyası) için oluşturuldu.

• Konu adı, bulut hizmetine erişmek için kullanılan etki alanıyla eşleşmelidir.

  cloudapp.net (veya Azure ile ilgili herhangi bir etki alanı için) TLS/SSL sertifikası alamazsınız; sertifikanın konu adı, uygulamanıza erişmek için kullanılan özel etki alanı adıyla eşleşmelidir. Örneğin, contoso.cloudapp.net değil contoso.net.

• En az 2048 bit şifreleme.

• Yalnızca Hizmet Sertifikası: İstemci tarafı sertifikası Kişisel sertifika deposunda bulunmalıdır.

Yardımcı programı veya IIS ile Windows'ta sertifika oluşturmanın makecert.exe iki kolay yolu vardır.

Makecert.exe

Bu yardımcı program kullanım dışı bırakıldı ve artık burada belgelenmedi. Daha fazla bilgi için bu MSDN makalesine bakın.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Bu sertifikayı yönetim portalıyla kullanmak istiyorsanız bir .cer dosyasına aktarın:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)

İnternet'te bunun IIS ile nasıl yapılacağını kapsayan birçok sayfa vardır. İşte bunu iyi açıkladığını düşündüğüm harika bir tane.

Linux

Bu makalede SSH ile sertifikaların nasıl oluşturulacağı açıklanır.

Sonraki adımlar

Hizmet sertifikanızı Azure portal yükleyin.

Azure portal bir yönetim API'si sertifikası yükleyin.