Esporta (0) Stampa
Espandi tutto

Gestione certificati

Aggiornamento: aprile 2014

In Microsoft Azure i certificati vengono utilizzati in tre modi:

  • Certificati di gestione: archiviati a livello di sottoscrizione, questi certificati vengono utilizzati per consentire l'utilizzo degli strumenti di SDK, degli strumenti di Azure per Microsoft Visual Studio o dell'Riferimento all'API REST di gestione dei servizi. Questi certificati sono indipendenti da qualsiasi distribuzione o servizio cloud.

  • Certificati di servizio: archiviati a livello del servizio cloud, questi certificati vengono utilizzati dai servizi distribuiti.

  • Chiavi SSH: archiviate nella macchina virtuale Linux, le chiavi SSH vengono utilizzate per autenticare le connessioni remote nella macchina virtuale.

Per poter essere utilizzato in Azure, un certificato deve essere caricato in questa applicazione. I certificati di gestione e di servizio possono essere caricati tramite il Portale di gestione di Microsoft Azure. I certificati di servizio possono anche essere caricati nel Portale di gestione utilizzando Aggiungere un certificato di servizio nell'Riferimento all'API REST di gestione dei servizi.

I certificati utilizzati in Azure sono certificati x.509 v3 e possono essere firmati tramite un altro certificato attendibile oppure autofirmati. Un certificato autofirmato è firmato dal relativo autore. Per questo motivo, il certificato non è considerato attendibile dai browser Web e comporterà la generazione di un avviso di sicurezza in Internet Explorer. Gli utenti possono continuare, ma devono ignorare un messaggio di sicurezza.

I certificati autofirmati vengono in genere utilizzati negli scenari di test o come contenitori per chiavi pubbliche/private.

Nei certificati utilizzati da Azure può essere contenuta una chiave privata o pubblica. Ai certificati è associata un'identificazione digitale che consente di identificarli in modo non ambiguo. Questa identificazione personale viene utilizzata nel file di configurazione di Azure per identificare il certificato che deve essere utilizzato da un servizio cloud. Per ulteriori informazioni sui certificati di configurazione nel file di configurazione, vedere Impostare un servizio cloud per Azure.

Azure utilizza i certificati per identificare una relazione attendibile: la parte che deve essere attendibile dispone della chiave privata.

  • Certificati di gestione (file di certificato con estensione cer): il client tramite cui viene eseguita la connessione al servizio deve essere attendibile e dispone della chiave privata.

  • Certificati di servizio (file di certificato con estensione pfx): il servizio deve essere considerato attendibile dal client tramite cui viene eseguita la connessione al servizio. Ad esempio, nel certificato SSL in uno scenario di servizio protetto SSL è contenuta la chiave privata.

I certificati di gestione consentono l'accesso client alle risorse nella sottoscrizione Azure. I certificati di gestione sono certificati x.509 v3 in cui è contenuta solo una chiave pubblica e vengono salvati come file con estensione cer.

Utilizzi comuni dei certificati di gestione

Lo stesso certificato può essere utilizzato in più computer per gestire una sottoscrizione Azure. Per spostare un certificato di gestione da un computer a un altro di sviluppo, deve essere esportato in un file PFX e, successivamente, reimportato nell'altro computer di sviluppo.

ImportantImportante
Per ogni sottoscrizione Azure esiste un limite di 100 certificati di gestione. Questo limite è valido anche per tutte le sottoscrizioni con l'ID utente di un amministratore del servizio specifico. Se l'ID utente dell'amministratore dell'account è già stato utilizzato per aggiungere 100 certificati di gestione e ne sono necessari altri, è possibile aggiungere un coamministratore per aumentare il numero di certificati. Prima di aggiungere più di 100 certificati, verificare se è possibile riutilizzarne uno esistente. L'utilizzo di coamministratori potrebbe rendere più complesso il processo di gestione dei certificati.

Per ulteriori informazioni sull'aggiunta di coamministratori, vedere Aggiungere un coamministratore a una sottoscrizione Azure.

Tramite i certificati di servizio vengono fornite interazioni sicure per gli utenti dell'applicazione Web o del servizio. Uno scenario comune è rappresentato da un certificato associato a un endpoint HTTPS, tuttavia i certificati di servizio possono essere utilizzati anche in altri modi. I certificati di servizio, stabiliti nella definizione del servizio, vengono distribuiti automaticamente nella macchina virtuale in cui viene eseguita un'istanza del ruolo e possono essere caricati nel Portale di gestione tramite il Portale di gestione o l'API di gestione del servizio. I certificati di servizio sono associati a un servizio cloud specifico e assegnati a una distribuzione nel file di definizione del servizio.

I certificati di servizio possono essere gestiti separatamente dai servizi e da utenti diversi. Ad esempio, uno sviluppatore potrebbe caricare un pacchetto del servizio tramite cui viene fatto riferimento a un certificato che è stato caricato precedentemente in Azure da un responsabile IT. Quest'ultimo può gestire e rinnovare il certificato modificando la configurazione del servizio senza dover caricare un nuovo pacchetto del servizio. Questa operazione è possibile poiché il nome logico per il certificato e il relativo nome di archivio e il percorso vengono specificati nel file di definizione del servizio, mentre l'identificazione digitale del certificato viene specificata nel file di configurazione del servizio. Per aggiornare il certificato, è sufficiente caricare un nuovo certificato e modificare il valore dell'identificazione digitale nel file di configurazione del servizio.

WarningAvviso
Se la configurazione viene modificata in questo modo, sarà potenzialmente non sincronizzata rispetto alla piattaforma di sviluppo. Ciò significa che gli aggiornamenti possono potenzialmente essere sovrascritti se la configurazione nel computer di sviluppo non viene aggiornata prima del caricamento degli aggiornamenti nel servizio. La soluzione consigliata consiste nell'aggiornare il servizio con un nuovo file di configurazione. In questo modo viene garantito che la modifica non viene persa.

I certificati di servizio sono certificati x.509 v3 che vengono caricati in Azure e archiviati nel servizio ospitato in cui verranno utilizzati. I certificati di servizio sono file di chiave privata (con estensione pfx) e vengono utilizzati per la decrittografia SSL e del desktop remoto per cui è richiesto un certificato con una chiave privata.

Ai certificati di servizio sono associati tre scopi principali:

  • Crittografia: crittografia di password RDP.

  • Server: tramite SSL viene garantita la sicurezza di comunicazione per le pagine Web protette.

  • Autenticazione reciproca: autenticazione del client WCF.

Le chiavi SSH consentono di accedere in remoto e autenticare le connessioni in una macchina virtuale Linux da un client Linux o Windows. Nella versione corrente del portale di gestione di Microsoft Azure sono accettate solo le chiavi pubbliche SSH che sono incapsulate in un certificato X509 contenente una coppia di chiavi a 2048 bit. Per ulteriori informazioni sulla generazione e sull'utilizzo delle chiavi SSH per accedere a una macchina virtuale Linux, vedere l'argomento relativo all'utilizzo di SSH con Linux in Azure.

Vedere anche

Mostra:
© 2014 Microsoft