Esporta (0) Stampa
Espandi tutto
10 di 20 hanno valutato il contenuto utile: - Valuta questo argomento

Gestione certificati

Aggiornamento: aprile 2014

In Windows Azure i certificati vengono utilizzati in tre modi:

  • Certificati di gestione: archiviati a livello di sottoscrizione, questi certificati vengono utilizzati per abilitare Windows Azure tramite gli strumenti SDK, gli strumenti di Windows Azure per Microsoft Visual Studio o l'Riferimento all'API REST di gestione dei servizi. Questi certificati sono indipendenti da qualsiasi servizio ospitato o distribuzione.

  • Certificati di servizio: archiviati a livello del servizio ospitato, questi certificati vengono utilizzati dai servizi distribuiti.

  • Chiavi SSH: archiviate nella macchina virtuale Linux, le chiavi SSH vengono utilizzate per autenticare le connessioni remote nella macchina virtuale.

Per poter essere utilizzato in Windows Azure, un certificato deve essere caricato in questa applicazione. I certificati di gestione e di servizio possono essere caricati tramite il Portale di gestione di Microsoft Azure. I certificati di servizio possono anche essere caricati nel Portale di gestione utilizzando Aggiungere un certificato di servizio nell'Riferimento all'API REST di gestione dei servizi.

I certificati utilizzati in Windows Azure sono certificati x.509 v3 e possono essere firmati tramite un altro certificato attendibile oppure autofirmati. Un certificato autofirmato è firmato dal relativo autore. Per questo motivo, il certificato non è considerato attendibile dai browser Web e comporterà la generazione di un avviso di sicurezza in Internet Explorer. Gli utenti possono continuare, ma devono ignorare un messaggio di sicurezza.

I certificati autofirmati vengono in genere utilizzati negli scenari di test o come contenitori per chiavi pubbliche/private.

Nei certificati utilizzati da Windows Azure può essere contenuta una chiave privata o pubblica. Ai certificati è associata un'identificazione digitale che consente di identificarli in modo non ambiguo. Questa identificazione digitale viene utilizzata nel file di configurazione Windows Azure per identificare il certificato che deve essere utilizzato in un servizio ospitato. Per ulteriori informazioni sui certificati di configurazione nel file di configurazione, vedere Impostare un servizio cloud per Windows Azure.

Windows Azure utilizza i certificati per identificare una relazione attendibile: la parte che deve essere attendibile dispone della chiave privata.

  • Certificati di gestione (file di certificato con estensione cer): il client tramite cui viene eseguita la connessione al servizio deve essere attendibile e dispone della chiave privata.

  • Certificati di servizio (file di certificato con estensione pfx): il servizio deve essere considerato attendibile dal client tramite cui viene eseguita la connessione al servizio. Ad esempio, nel certificato SSL in uno scenario di servizio protetto SSL è contenuta la chiave privata.

I certificati di gestione consentono l'accesso client alle risorse nella sottoscrizione Windows Azure. I certificati di gestione sono certificati x.509 v3 in cui è contenuta solo una chiave pubblica e vengono salvati come file con estensione cer.

Utilizzi comuni dei certificati di gestione

Lo stesso certificato può essere utilizzato in più computer per gestire una sottoscrizione Windows Azure. Per spostare un certificato di gestione da un computer a un altro di sviluppo, deve essere esportato in un file PFX e, successivamente, reimportato nell'altro computer di sviluppo.

ImportantImportante
Per ogni sottoscrizione Windows Azure esiste un limite di 100 certificati di gestione. Questo limite è valido anche per tutte le sottoscrizioni nell'ID utente di un amministratore del servizio specifico. Se l'ID utente per l'amministratore dell'account è già stato utilizzato per aggiungere 100 certificati di gestione e ne sono necessari altri, è possibile aggiungere un coamministratore per aumentare il numero di certificati. Prima di aggiungere più di 100 certificati, verificare se è possibile riutilizzarne uno esistente. L'utilizzo di coamministratori potrebbe rendere più complesso il processo di gestione dei certificati.

Per ulteriori informazioni sull'aggiunta di coamministratori, vedere Aggiungere un coamministratore a una sottoscrizione di Windows Azure.

Tramite i certificati di servizio vengono fornite interazioni sicure per gli utenti dell'applicazione Web o del servizio. Uno scenario comune è rappresentato da un certificato associato a un endpoint HTTPS, tuttavia i certificati di servizio possono essere utilizzati anche in altri modi. I certificati di servizio, stabiliti nella definizione del servizio, vengono distribuiti automaticamente nella macchina virtuale in cui viene eseguita un'istanza del ruolo e possono essere caricati nel Portale di gestione tramite il Portale di gestione o l'API di gestione del servizio. I certificati di servizio sono associati a un servizio ospitato specifico e assegnati a una distribuzione nel file di definizione del servizio.

I certificati di servizio possono essere gestiti separatamente dai servizi e da utenti diversi. Ad esempio, uno sviluppatore potrebbe caricare un pacchetto del servizio tramite cui viene fatto riferimento a un certificato che è stato caricato precedentemente in Windows Azure da un responsabile IT. Quest'ultimo può gestire e rinnovare il certificato modificando la configurazione del servizio senza dover caricare un nuovo pacchetto del servizio. Questa operazione è possibile poiché il nome logico per il certificato e il relativo nome di archivio e il percorso vengono specificati nel file di definizione del servizio, mentre l'identificazione digitale del certificato viene specificata nel file di configurazione del servizio. Per aggiornare il certificato, è sufficiente caricare un nuovo certificato e modificare il valore dell'identificazione digitale nel file di configurazione del servizio.

WarningAvviso
Se la configurazione viene modificata in questo modo, sarà potenzialmente non sincronizzata rispetto alla piattaforma di sviluppo. Ciò significa che gli aggiornamenti possono potenzialmente essere sovrascritti se la configurazione nel computer di sviluppo non viene aggiornata prima del caricamento degli aggiornamenti nel servizio. La soluzione consigliata consiste nell'aggiornare il servizio con un nuovo file di configurazione. In questo modo viene garantito che la modifica non viene persa.

I certificati di servizio sono certificati x.509 v3 che vengono caricati in Azure e archiviati nel servizio ospitato in cui verranno utilizzati. I certificati di servizio sono file di chiave privata (con estensione pfx) e vengono utilizzati per la decrittografia SSL e del desktop remoto per cui è richiesto un certificato con una chiave privata.

Ai certificati di servizio sono associati tre scopi principali:

  • Crittografia: crittografia di password RDP.

  • Server: tramite SSL viene garantita la sicurezza di comunicazione per le pagine Web protette.

  • Autenticazione reciproca: autenticazione del client WCF.

Le chiavi SSH consentono di accedere in remoto e autenticare le connessioni in una macchina virtuale Linux da un client Linux o Windows. Nella versione corrente del portale di gestione di Windows Azure sono accettate solo le chiavi pubbliche SSH che sono incapsulate in un certificato X509 contenente una coppia di chiavi a 2048 bit. Per ulteriori informazioni sulla generazione e sull'utilizzo delle chiavi SSH per accedere a una macchina virtuale Linux, vedere la pagina relativa all'utilizzo di SSH con Linux in Windows Azure.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.