(0) exportieren Drucken
Alle erweitern

Verknüpfen eines Zertifikats mit einem Dienst

Letzte Aktualisierung: März 2011

Die folgende Abbildung zeigt, wie ein Zertifikat mit einem Dienst verknüpft wird, der in Windows Azure bereitgestellt wird:

AssociateCertWithService

So verknüpfen Sie ein Zertifikat mit einem Dienst

  1. Der Leiter der IT stellt den Zertifikatfingerabdruck und den Fingerabdruckalgorithmus für den Dienstentwickler bereit. Der Fingerabdruck identifiziert das Zertifikat, enthält jedoch keine vertraulichen Informationen. Der Fingerabdruckalgorithmus gibt den Algorithmus an, der zum Generieren des Fingerabdrucks verwendet wird.

    noteHinweis
    Derzeit wird nur der Fingerabdruckalgorithmus sha1 unterstützt. Wenn Sie nicht sicher sind, welchen Fingerabdruckalgorithmus Ihr Zertifikat unterstützt, können Sie das Snap-In "certmgr.msc" mit der Microsoft Management Console (MMC) verwenden, um das Zertifikat zu überprüfen. Weitere Informationen zum Verwenden von MMC zur Anzeige des Fingerabdruckalgorithmus finden Sie weiter unten im Abschnitt So zeigen Sie den Zertifikatfingerabdruck-Algorithmus an.

  2. Der Dienstentwickler verknüpft das Zertifikat mit einer bestimmten Rolle in der Dienstdefinitionsdatei. Im Zertifikateintrag in der Dienstdefinitionsdatei ist der Name für das Zertifikat angegeben. Dieser kann verwendet werden, um das Zertifikat dem Zertifikatfingerabdruck in der Dienstkonfigurationsdatei zuzuordnen. Falls das Zertifikat für SSL verwendet wird, kann der Zertifikatsname auch einem HTTPS-Endpunkt zugeordnet werden. Der Dienstentwickler kann einen beliebigen Namen auswählen.

    Der Eintrag in der Dienstdefinitionsdatei gibt auch den Ort und den Namen des Speichers an, in den dieses Zertifikat auf der Windows Azure-VM kopiert werden soll. Der Speicherort kann entweder Current User oder Local Machine sein. Der Speichername ist möglicherweise ein integrierter Speicher oder ein beliebiger benutzerdefinierter Speichername, den der Dienstentwickler bereitstellt. Die Namen der integrierten Speicher sind My, Root, CA, Trust, Disallowed, TrustedPeople, TrustedPublisherAuthRoot und AddressBook. Falls der Speichername ein benutzerdefinierter Name ist, wird in Windows Azure ein neuer Speicher mit dem angegebenen Namen erstellt. Ausführliche Informationen zum Hinzufügen eines Zertifikats zur Dienstdefinition in Windows Azure-Dienstdefinitionsschema (.csdef-Datei) finden Sie unter Certificate-Element.

    WarningWarnung
    Die Installation im vertrauenswürdigen Stammspeicher ist nicht möglich. Er ist standardmäßig blockiert, da es nicht empfehlenswert ist, die Zertifikate dort zu speichern. Wenn das Zertifikat im vertrauenswürdigen Stammspeicher gespeichert werden muss, können Sie eine Startaufgabe mit erhöhten Rechten verwenden, um ein Zertifikat aus einem nicht vertrauenswürdigen Stammspeicher in den vertrauenswürdigen Stammspeicher zu verschieben. Weitere Informationen zu Startaufgaben finden Sie unter Definieren von Starttasks für eine Rolle.

    In der folgenden Beispiel-Dienstdefinitionsdatei sind drei Zertifikate einschließlich Speicherort und -name aufgeführt. Auf das Zertifikat mit dem Namen SSL wird auch in der Definition eines HTTPS-Endpunkts anhand des Namens verwiesen.

    <?xml version="1.0" encoding="utf-8"?>
    <ServiceDefinition name="CloudService1" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition">
      <WebRole name="WCFServiceWebRole2">
        <Endpoints>
          <InputEndpoint name="HttpIn" protocol="http" port="80" />
          <InputEndpoint name="Https" protocol="https" port="443" certificate="SSL" />
        </Endpoints>
        <Imports>
          <Import moduleName="Diagnostics" />
        </Imports>
        <Certificates>
          <Certificate name="SSL" storeLocation="LocalMachine" storeName="My" />
          <Certificate name="MSSecAuth" storeLocation="LocalMachine" storeName="CA" />
          <Certificate name="MSInternetAuth" storeLocation="LocalMachine" storeName="CA" />
        </Certificates>
        <LocalResources>
          <LocalStorage name="Logs" cleanOnRoleRecycle="false" sizeInMB="100"/>
        </LocalResources>
      </WebRole>
    </ServiceDefinition>
    
    
  3. Der Dienstentwickler fügt der Dienstkonfigurationsdatei einen Eintrag für das Zertifikat hinzu und verwendet denselben Namen, der in der Dienstdefinitionsdatei bereitgestellt wurde. In diesem Eintrag ist zudem der Zertifikatsfingerabdruck und der Fingerabdruckalgorithmus angegeben. In Windows Azure wird der Fingerabdruck verwendet, um das Zertifikat innerhalb des Zertifikatspeichers der gehosteten Dienste zu identifizieren und das Zertifikat auf den virtuellen Computern bereitzustellen, auf denen die Instanzen der Rolle ausgeführt werden. Ausführliche Informationen zum Angeben eines Zertifikats in der Dienstkonfigurationsdatei finden Sie unter WebRole-SchemaCertificate-Element oder WorkerRole-Schema.

  4. Der Dienstentwickler lädt das Dienstpaket und die Dienstkonfigurationsdatei in Windows Azure hoch und stellt den Dienst bereit.

So zeigen Sie den Zertifikatsfingerabdruck-Algorithmus an

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie certmgr.msc ein, und klicken Sie auf OK.

  2. Erweitern Sie in MMC Zertifikate - Aktueller Benutzer und dann den Zertifikatspeicher, der das Zertifikat enthält. Klicken Sie auf Zertifikate.

  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Zertifikat und dann auf Öffnen.

  4. Klicken Sie auf Details, und führen in der Detailliste einen Bildlauf nach unten durch, bis Sie das Feld Fingerabdruckalgorithmus sehen.

Siehe auch

Anzeigen:
© 2014 Microsoft