可以使用 Azure Key Vault 集中管理容器应用的传输层安全性(TLS)和安全套接字层(SSL)证书。 Key Vault 可以处理证书更新、续订和监视。
本文介绍如何将 Key Vault 证书导入 Azure 容器应用环境。
先决条件
- Key Vault 资源
- 存储在密钥保管库中的证书
有关创建密钥保管库和添加证书的步骤,请参阅 在 Azure Key Vault 中导入证书 或在 Key Vault 中配置证书自动调用。
例外
容器应用支持大多数证书类型。 但请记住一些例外情况:
- 不支持椭圆曲线数字签名算法 (ECDSA) p384 和 p521 证书。
- 若要使用 Azure 应用服务证书,需要使用 Azure CLI 将其从 Key Vault 导入到容器应用中。 本文介绍如何使用 Azure 门户导入证书。 但是,由于这些证书保存在 Key Vault 中的方式,无法使用 Azure 门户导入应用服务证书。
为容器应用环境启用管理身份验证
容器应用使用环境级托管标识来访问密钥保管库并导入证书。 为此,可以使用系统分配的标识或用户分配的标识。 若要使用系统分配的托管标识,请执行以下步骤:
转到 Azure 门户,然后转到要将证书导入到的容器应用环境。
选择 “设置>标识”。
在 “系统分配 ”选项卡上,打开 “状态 ”开关。
选择“保存”。 出现 “启用系统分配的托管标识 ”窗口时,选择“ 是”。
在 “权限”下,选择 Azure 角色分配 以打开角色分配窗口。
选择 “添加角色分配”,然后选择以下值:
属性 值 Scope 密钥保管库 订阅 你的 Azure 订阅 资源 你的密钥保管库 角色 密钥保管库机密用户 选择“保存”。
Key Vault 提供两个授权系统:Azure 基于角色的访问控制(Azure RBAC)和旧访问策略模型。 有关这两个系统的详细信息,请参阅 Azure 基于角色的访问控制(Azure RBAC)与访问策略(旧版)。
导入来自 Key Vault 的证书
若要将证书从 Key Vault 导入到容器应用环境,请执行以下步骤。
启动进程
在 Azure 门户中,转到你的容器应用环境。
选择 “设置>证书”。
转到"带有自身证书 (.pfx)"选项卡。
选择“添加证书”。
添加证书
在 “添加证书 ”对话框中的 “源”旁边,选择 “从 Key Vault 导入”。
选择 “选择密钥保管库证书”,然后选择以下值:
属性 值 订阅 你的 Azure 订阅 密钥保管库 你的密钥保管库 证书 证书 注意
如果出现一条错误消息,指出“此密钥保管库的访问策略中未启用”列表“作,则需要在密钥保管库中配置访问策略,以允许用户帐户列出证书。 有关详细信息,请参阅分配 Key Vault 访问策略(旧版)。
选择“选择” 。
在添加证书对话框中,托管标识旁边,选择系统分配。 如果使用用户分配的托管标识,请改为选择用户分配的托管标识。
选择 添加 。
注意
如果出现错误消息,请验证是否为托管标识分配了 密钥保管库的 Key Vault 机密用户 角色。
配置自定义域
配置证书后,可以使用它来帮助保护自定义域。 按照 “添加自定义域和证书”中的步骤作,然后选择从 Key Vault 导入的证书。
轮换证书
在 Key Vault 中轮换证书时,容器应用会自动更新环境中的证书。 应用新证书最多需要 12 小时。