銷售: 1-800-867-1380

管理憑證

更新日期: 2014年4月

Microsoft Azure 使用憑證的方式有三種:

  • 管理憑證 - 這些儲存在訂閱層級的憑證是用來啟用 SDK 工具、Windows Azure Tools for Microsoft Visual Studio 或 服務管理 REST API 參考。這些憑證與任何雲端服務或部署無關。

  • 服務憑證 - 這些儲存在雲端服務層級的憑證是由部署的服務所使用。

  • SSH 金鑰 - SSH 金鑰儲存在 Linux 虛擬機器上,可用來驗證虛擬機器的遠端連線。

若要在 Azure 中使用憑證,您必須將它上傳至 Azure。您可以透過 Windows Azure 管理入口網站上傳管理和服務憑證。您也可以使用 服務管理 REST API 參考 中的加入服務憑證,將服務憑證上傳至管理入口網站。

Azure 中使用的憑證是 x.509 v3 憑證,而且可以由其他受信任的憑證簽署,也可以自我簽署。自我簽署憑證是由憑證自己的建立者所簽署。因此,這種憑證不會受到網頁瀏覽器信任,而且會在 Internet Explorer 中導致安全性警示。雖然使用者可以繼續進行,不過必須略過安全性訊息。

自我簽署憑證通常會用於測試案例,或者當做公開/私密金鑰的容器使用。

Azure 所使用的憑證可以包含私密或公開金鑰。憑證具有指紋,讓系統能夠明確地識別它們。Azure 組態檔會使用這個憑證指紋來識別雲端服務應該使用的憑證。如需在組態檔中設定憑證的詳細資訊,請參閱<設定 Azure 的雲端服務>。

Azure 會使用憑證來識別信任關係:受信任的對象是否具有私密金鑰。

  • 管理憑證 (.cer 憑證檔案):連接服務的用戶端必須受信任且具有私密金鑰。

  • 服務憑證 (.pfx 憑證檔案):服務必須受到連接至服務的用戶端所信任。例如,在 SSL 保護的服務案例中,SSL 憑證會包含私密金鑰。

管理憑證允許用戶端存取 Azure 訂閱中的資源。管理憑證是只包含公開金鑰的 x.509 v3 憑證,而且儲存成 .cer 檔案。

管理憑證的常見用法

您可以在多部電腦上使用相同的憑證來管理 Azure 訂閱。若要將管理憑證從某部電腦移至另一部開發電腦,您必須以 PFX 檔案的形式匯出憑證,然後在其他開發電腦上重新匯入憑證。

Important重要事項
每個 Windows Azure 訂閱都具有 100 個管理憑證的限制。此外,特定服務管理員之使用者識別碼底下的所有訂閱也具有 100 個管理憑證的限制。如果帳戶系統管理員的使用者識別碼已經用來加入 100 個管理憑證,而且您有 100 個以上憑證的需求,就可以加入共同管理員來加入其他憑證。加入 100 個以上的憑證之前,請先查看您是否能夠重複使用現有的憑證。使用共同管理員可能會讓您的憑證管理程序產生不必要的複雜性。

如需加入共同管理員的詳細資訊,請參閱<將共同管理員加入至 Azure 訂閱>。

服務憑證會針對 Web 應用程式或服務的使用者提供安全的互動。常見的案例是與 HTTPS 端點相關聯的憑證,不過您也可以用其他方式使用服務憑證。定義於服務定義中的服務憑證會自動部署至執行角色執行個體的虛擬機器。您可以使用 管理入口網站或服務管理 API,將服務憑證上傳至 管理入口網站。服務憑證會與特定的雲端服務相關聯並且指派給服務定義檔中的部署。

服務憑證可以與您的服務分開管理,而且可由不同的人員管理。例如,開發人員可以上傳服務封裝,其中參考了 IT 管理員先前上傳至 Azure 的憑證。IT 管理員可以管理和更新該憑證,並且變更服務的組態,而不需要上傳新的服務封裝。這是可能的作法,因為憑證的邏輯名稱及其存放區名稱與位置是指定於服務定義檔中,而憑證指紋則指定於服務組態檔中。若要更新憑證,只要上傳新的憑證並且變更服務組態檔中的憑證指紋值即可。

Warning警告
如果您以這種方式變更組態,組態可能會與開發平台不同步。這表示,將更新上傳至服務之前,如果沒有先更新開發電腦的組態,可能就會覆寫更新。建議的解決方法是使用新的組態檔來升級服務。這樣做可確保變更不會遺失。

服務憑證是上傳至 Azure 並且儲存在使用憑證之託管服務中的 x.509 v3 憑證。服務憑證是私密金鑰 (.pfx) 檔案。服務憑證會用於 SSL 以及遠端桌面解密,這兩種作業都需要包含私密金鑰的憑證。

服務憑證的三種主要用法如下:

  • 加密 - RDP 密碼加密。

  • 伺服器 - SSL 會針對安全的網頁提供通訊安全性。

  • 相互驗證 - WCF 用戶端驗證。

SSH 金鑰可讓您從 Linux 或 Windows 用戶端,遠端存取及驗證 Linux 虛擬機器的連線。目前的 Microsoft Azure 管理入口網站版本只接受以 X509 憑證封裝的 SSH 公開金鑰,該憑證包含 2048 位元金鑰組。如需產生及使用 SSH 金鑰以存取 Linux 虛擬機器的詳細資訊,請參閱<如何在 Windows Azure 上搭配使用 SSH 和 Linux>。

另請參閱

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見
Microsoft 正展開一份線上問卷調查,了解您對於 MSDN 網站的看法。 如果您選擇參加,您離開 MSDN 網站時即會顯示線上問卷調查。

您是否想要參加?
顯示:
© 2014 Microsoft