(0) exportieren Drucken
Alle erweitern

Verwalten von Zertifikaten

Letzte Aktualisierung: April 2014

In Microsoft Azure werden Zertifikate auf drei Arten verwendet:

  • Verwaltungszertifikate – Diese auf Abonnementebene gespeicherten Zertifikate dienen dazu, die Verwendung der SDK-Tools, der Azure Tools für Microsoft Visual Studio oder der Referenz zur REST-API der Dienstverwaltung zu ermöglichen. Diese Zertifikate sind unabhängig von Cloud Services oder Bereitstellungen.

  • Dienstzertifikate – Diese Zertifikate werden auf der Ebene der Cloud Services gespeichert und von Ihren bereitgestellten Diensten verwendet.

  • SSH-Schlüssel – Die auf dem virtuellen Linux-Computer gespeicherten SSH-Schlüssel werden verwendet, um Remoteverbindungen mit dem virtuellen Computer zu authentifizieren.

Um ein Zertifikat in Azure zu verwenden, muss es in Windows Azure hochgeladen werden. Verwaltungs- und Dienstzertifikate können über das Windows Azure-Verwaltungsportal hochgeladen werden. Dienstzertifikate können auch mit Add Service Certificate in der Referenz zur REST-API der Dienstverwaltung in das Verwaltungsportal hochgeladen werden.

Bei den in Windows Azure verwendeten Zertifikaten handelt es sich um x.509 v3-Zertifikate, die von einem anderen vertrauenswürdigen Zertifikat signiert werden können oder selbstsigniert sind. Ein selbstsigniertes Zertifikat wird vom eigenen Ersteller signiert. Daher ist das selbstsignierte Zertifikat für Webbrowser nicht vertrauenswürdig und verursacht eine Sicherheitswarnung in Internet Explorer. Benutzer können den Vorgang fortsetzen, müssen jedoch eine Sicherheitsnachricht umgehen.

Selbstsignierte Zertifikate werden normalerweise in Testszenarien verwendet oder dienen als Container für öffentliche/private Schlüssel.

Die von Windows Azure verwendeten Zertifikate können einen privaten oder öffentlichen Schlüssel enthalten. Zertifikate haben einen Fingerabdruck zur eindeutigen Identifizierung. Dieser Fingerabdruck wird in der Windows Azure-Konfigurationsdatei verwendet, um zu ermitteln, welches Zertifikat von einem Cloud-Dienst verwendet werden soll. Weitere Informationen zum Konfigurieren von Zertifikaten in der Konfigurationsdatei finden Sie unter Einrichten eines Cloud-Diensts für Azure.

Azure verwendet Zertifikate, um eine Vertrauensstellung zu identifizieren: Die Partei, der vertraut werden soll, besitzt den privaten Schlüssel.

  • Verwaltungszertifikate (CER-Zertifikatdateien): Der Client, der eine Verbindung mit dem Dienst herstellt, muss vertrauenswürdig sein und verfügt über den privaten Schlüssel.

  • Dienstzertifikate (PFX-Zertifikatdateien): Der Client, der eine Verbindung mit dem Dienst herstellt, muss diesem vertrauen. In einem Szenario mit SSL-gesicherten Diensten enthält das SSL-Zertifikat den privaten Schlüssel.

Verwaltungszertifikate ermöglichen den Clientzugriff auf Ressourcen im Azure-Abonnement. Verwaltungszertifikate sind x.509 v3-Zertifikate, die nur einen öffentlichen Schlüssel enthalten und als CER-Datei gespeichert werden.

Allgemeine Verwendungsmöglichkeiten für Verwaltungszertifikate

Das gleiche Zertifikat kann auf mehreren Computern verwendet werden, um ein Azure-Abonnement zu verwalten. Um ein Verwaltungszertifikat von einem Computer auf einen anderen Entwicklungscomputer zu verschieben, muss es als PFX-Datei exportiert und dann auf dem anderen Entwicklungscomputer erneut importiert werden.

ImportantWichtig
Pro Windows Azure-Abonnement sind maximal 100 Verwaltungszertifikate zulässig. Außerdem gibt es einen Grenzwert von 100 Verwaltungszertifikaten für alle Abonnements, die der Benutzer-ID eines bestimmten Dienstadministrators zugeordnet sind. Wenn die Benutzer-ID des Kontoadministrator bereits zum Hinzufügen von 100 Verwaltungszertifikaten verwendet wurde und weitere Zertifikate notwendig sind, können Sie einen Co-Administrator hinzufügen, um die zusätzlichen Zertifikate zu ergänzen. Bevor Sie aber mehr als 100 Zertifikate hinzufügen, sollten Sie prüfen, ob Sie ein vorhandenes Zertifikat wiederverwenden können. Das Hinzufügen von Co-Administratoren kann die Zertifikatverwaltung unnötig komplexer machen.

Weitere Informationen zum Hinzufügen von Co-Administratoren finden Sie unter Hinzufügen eines Co-Administrators zu einem Azure-Abonnement.

Dienstzertifikate ermöglichen sichere Interaktionen für die Benutzer einer Webanwendung oder eines Diensts. Ein Dienstzertifikat ist häufig einem HTTPS-Endpunkt zugeordnet, aber Sie können Dienstzertifikate auch auf andere Weise verwenden. Die in der Dienstdefinition definierten Dienstzertifikate werden automatisch auf dem virtuellen Computer bereitgestellt, auf dem eine Instanz der Rolle ausgeführt wird. Sie können Dienstzertifikate entweder über das Verwaltungsportal oder mit der Dienstverwaltungs-API in das Verwaltungsportal hochladen. Dienstzertifikate werden mit einem bestimmten Cloud-Dienst verknüpft und einer Bereitstellung in der Dienstdefinitionsdatei zugewiesen.

Dienstzertifikate können getrennt von den Diensten und von verschiedenen Personen verwaltet werden. Beispielsweise kann ein Entwickler ein Dienstpaket hochladen, das auf ein Zertifikat verweist, das zuvor von dem Leiter der IT-Abteilung in Windows Azure hochgeladen wurde. Der Leiter der IT-Abteilung kann dieses Zertifikat verwalten und verlängern, indem er die Konfiguration des Diensts ändert, ohne ein neues Dienstpaket hochladen zu müssen. Dies ist möglich, da der logische Name für das Zertifikat sowie Speicherort und -name in der Dienstdefinitionsdatei enthalten sind, während der Zertifikatfingerabdruck in der Dienstkonfigurationsdatei angegeben ist. Zur Aktualisierung des Zertifikats muss nur ein neues Zertifikat hochgeladen und der Fingerabdruckwert in der Dienstkonfigurationsdatei geändert werden.

WarningWarnung
Wenn die Konfiguration auf diese Weise geändert wird, ist sie möglicherweise nicht mehr mit der Entwicklungsplattform synchron. Das bedeutet, dass Updates möglicherweise überschrieben werden, wenn die Konfiguration auf dem Entwicklungscomputer nicht aktualisiert wird, bevor Updates in den Dienst hochgeladen werden. Die empfohlene Lösung ist, den Dienst mit einer neuen Konfigurationsdatei zu aktualisieren. Dadurch wird sichergestellt, dass die Änderung nicht verloren geht.

Dienstzertifikate sind x.509 v3-Zertifikate, die in Azure hochgeladen und in dem gehosteten Dienst gespeichert werden, in dem sie verwendet werden. Dienstzertifikate sind PFX-Dateien, die den privaten Schlüssel enthalten. Dienstzertifikate werden sowohl für die SSL-Entschlüsselung als auch die Remotedesktopentschlüsselung verwendet, für die ein Zertifikat mit einem privaten Schlüssel erforderlich ist.

Es gibt drei primäre Verwendungszwecke für Dienstzertifikate:

  • Verschlüsselung – RDP-Kennwortverschlüsselung

  • Server – Kommunikationssicherheit für sichere Webseiten durch SSL

  • Gegenseitige Authentifizierung – WCF-Clientauthentifizierung

SSH-Schlüssel ermöglichen den Remotezugriff und die Authentifizierung von Verbindungen mit einem virtuellen Linux-Computer über einen Linux- oder Windows-Client. Die aktuelle Version des Microsoft Azure-Verwaltungsportals akzeptiert nur öffentliche SSH-Schlüssel, die in einem X.509-Zertifikat gekapselt sind, das ein 2048-Bit-Schlüsselpaar enthält. Weitere Informationen zum Generieren und Verwenden von SSH-Schlüsseln für den Zugriff auf einen virtuellen Linux-Computer finden Sie unter Verwenden von SSH mit Linux unter Windows Azure.

Siehe auch

Anzeigen:
© 2014 Microsoft