Hur att Konfigurera Låt oss krypterad SSL-för en Azure Web App

0
178

Medan Azure erbjuder många verktyg, den har inte allt. Vi kommer att ta en titt på hur du kan konfigurera en funktionell Låt oss SSL för att Kryptera någon Azure Web App, för att tillhandahålla den nödvändiga nivån av säkerhet för alla online-verksamhet.

Vad Är Let ‘ s Kryptera?

Första saker först, låt oss få Låt oss Kryptera ur vägen. Så, vad är det? Det är en automatisk, kostnadsfri, öppen Certificate Authority. Detta innebär att du kan få helt gratis SSL-certifikat, och ändra din standard-URL-struktur från HTTP:// HTTP://.

Men vad är haken? Kan det verkligen vara så enkelt? Tja, SSL-certifikat bara senaste 90 dagarna, inte flera år som andra cert kan. Det finns dock en anledning till detta. Det är så automation uppmuntras, och att du kan göra ditt SSL-erfarenhet forgettable (så länge du har några skript eller bakgrundsprocess som förnyar automatiskt och installerar certifikat).

Numera, det finns egentligen ingen anledning till att inte använda Låt oss Kryptera, och det är tydligt av de flesta användningen av det i en mängd olika branscher och deras indirekta Web Apps.

Förutsättningar för Konfiguration:

  1. En aktiv Azure-konto. (Studenter kan få gratis Azure-för synkronisering av Resurser.)
  2. Varje webbapplikation som är värd via Appens Tjänst. De stack inte spelar någon roll.
  3. En custom DNS-post som pekar på Webb-Appen.

I en perfekt värld, din App Service och App serviceplan som är inom samma resurs gruppen. Men det är möjligt att göra utan detta.

Steg 1: Lagring-Konto för WebJobs

Okej, så det första steget är att skapa en Azure-Lagring-Konto, vilket är ett tillägg som gör det möjligt för oss att förnya certifieringen varje 90-dagarsperiod via Azure WebJobs.

Kontot får inte vara BlobStorage, eftersom det inte kommer att fungera. Det bör vara antingen av “minne” eller “StorageV2.”

Nu när det är gjort. Du kommer att lägga två separata inställningar: “AzureWebJobsDashboard” och “AzureWebJobsStorage” med en sträng som förbinder dem till den tidigare skapade Lagring-Konto.

Strängen kan se ut så här:

DefaultEndpointsProtocol=https;Kontonamn=[youraccount];AccountKey=[yourkey];

Steg 2: att Automatisera Processen

För tidigare förlängning till arbete utan vår inblandning, vi måste skapa en “Azure Service Principal”, som fungerar utanför begreppet delegation via Azure AD-inlägg.

Hitta dig själv mot Azure-för synkronisering av Active Directory, där du vill skapa den nya ansökan. På panelen, välj “App Registreringar.”

  1. Skapa en ny ansökan, och ställa in det så du kan se på denna bild.
  2. Generera en klient hemlig och spara den på ett säkert ställe. Om du inte har det, kommer du inte att kunna öppna det igen via klartext.
  3. Tillbaka till Översikt, och spara den som “Kund-ID”.
  4. Nu, måste du ge Bidra tillgång till Service Principal. Det bör vara kopplat till den Resurs Grupp av dina “App serviceplan” och “App Service.”
  5. I nästa meny väljer du “Bidragsgivare” roll, och lägga till det som skapas, “Service Principal.”
  6. Om du har några andra tjänster inom koncernen, kan du lägga till Bidragsgivaren roll för dem också.

Du kan mixtra runt med inställningarna som du vill, men det är ungefär det, för Tjänsten, Viktigaste.

Steg 3: Låt oss Kryptera Förlängning

Nu när du har alla de sekundära förutsättningar, slutligen kan du installera tillägget och konfigurera det med detta.

Gå till “App Service,” och sök efter det Azurblå Låt oss Kryptera förlängning av “SJKP.” När du har installerat det kan du fortsätta med konfigurationen.

För att ställa in förlängningen, måste du navigera dig till “Avancerade Verktyg” på sidan av “App Service.” Du kan hitta det genom att söka efter det i sökfältet, och det kommer förmodligen att ta dig till en plats som den här: https://yourdomain.scm.azurewebsite.net.

För att komma åt inställningarna, klickar du på “Webbplats Extensions” – knappen och klicka på “Launch.” Nu configuration sidan ska öppna upp, och du har följande alternativ.

  • Hyresgäst: den Azure AD direktör, i vilket din Service Principal skapades.
  • ClientID: samma kund-ID från innan.
  • ClientSecret: samma kund Hemlighet från innan.
  • ResourceGroupName: namnet på den Resurs Grupp av App-Tjänst som du använder.
  • SubscriptionID: ID på ditt abonnemang som du använder för Resurs-gruppen.
  • Uppdatera Inställningar: ställ alltid in den till True, så att alla dina inställningar sparas. Annars inställningar kommer inte att vara tillgängliga för WebsJobs att installera den nya certifikat.
  • ServicePlanResourceGroupName: Om din App Service och Service Plan är i samma grupp, namn kommer att vara samma som ResourceGroupName. Annars, du kommer att ange namnet på den Resurs Grupp av den faktiska Tjänsten Plan läge.

Efter att du har konfigurerat alla alternativ, kommer du till en översikt av Certifikat för SSL-Bindningar & egna domäner. Eftersom du fortfarande behöver för att skapa dem, du kan välja dina domäner för begäran, och lämna en “Get-Förfrågan” för SSL-certifikat.

Men innan du gör det, bör du lägga till din e-post så att du kan få varningar om något går fel med intyg (som dem de är föråldrade eller inte förnyas).

Och det är ungefär det. Nu är allt upp och du kan njuta av belöningen av att slutföra uppgiften helt på egen hand.

Tänkbara Problem

Eftersom förlängningen behöver tillgång till dina sidor för domän tillstånd, se till att WEBBADRESSEN är tillgänglig för allmänheten via HTTP://yourdomain.com/.well-known/acme-challenge/.

Om ett fel uppstår och URL är inte nått, du har förmodligen regel-set på webben.config som förhindrar tillgång eller din HTTPS verkställs via Appen Inställningar för Tjänsten.

Också, eftersom Låt oss Kryptera använder HTTP-01 mekanism i ACME, den kommer att placera en slumpmässig token i filen på din webbserver, då det kommer att försöka att hämta den via HTTP. Om du ställer in Webb-Appen https bara, kommer ansökan att avslås, vilket är något du vill undvika.