将证书从 Azure 密钥保管库导入到 Azure 容器应用

可以设置 Azure Key Vault 来集中管理容器应用的 TLS/SSL 证书并处理更新、续订和监视。

先决条件

需要 Azure Key Vault 资源来存储证书。 请参阅在 Azure Key Vault 中导入证书在 Key Vault 中配置证书自动轮换,以创建 Key Vault 并添加证书。

为容器应用环境启用托管标识

Azure 容器应用使用环境级托管标识来访问 Key Vault 并导入证书。 若要启用系统分配的托管标识,请按照以下步骤操作:

  1. 打开 Azure 门户并找到要将证书导入到的 Azure 容器应用环境。

  2. 在“设置”中选择“标识”

  3. 在“系统分配”选项卡上,找到“状态”开关并选择“打开”

  4. 选择“保存”,在出现“启用系统分配的托管标识”窗口时选择“是”

  5. 在“权限”标签下,选择“Azure 角色分配”打开角色分配窗口

  6. 选择“添加角色分配”并输入以下值

    属性
    范围 选择“密钥保管库”
    订阅 选择 Azure 订阅。
    资源 选择保管库。
    角色 选择“密钥保管库机密用户”。
  7. 选择“保存”。

有关 RBAC 与旧访问策略的详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略

从 Key Vault 导入证书

  1. 打开 Azure 门户并转到 Azure 容器应用环境。

  2. 从“设置”中选择“证书”

  3. 选择“自带证书(.pfx)”选项卡

  4. 选择“添加证书”

  5. 在“添加证书”面板中,在“源”中选择“从 Key Vault 导入”

  6. 选择“选择密钥保管库证书”并选择以下值

    属性
    订阅 选择 Azure 订阅。
    密钥保管库 选择保管库。
    证书 选择证书。

    注意

    如果看到错误“此密钥保管库的访问策略中未启用“列出”操作。”,则需要在 Key Vault 中配置访问策略,以允许用户帐户列出证书。 有关详细信息,请参阅分配 Key Vault 访问策略

  7. 选择“选择” 。

  8. 在“添加证书”面板的“托管标识”中,选择“系统分配”。 如果使用用户分配的托管标识,请选择用户分配的托管标识。

  9. 选择 添加

注意

如果收到错误消息,请验证是否向托管标识分配了 Key Vault 上的“Key Vault 机密用户”角色

配置自定义域

配置证书后,可以使用它来保护自定义域。 按照添加自定义域中的步骤操作,并选择从 Key Vault 导入的证书。

轮换证书

在 Key Vault 中轮换证书时,Azure 容器应用会自动更新环境中的证书。 应用新证书最多需要 12 小时。