azure - 如何在Kudu(Azure)的java keystore 中导入受信任的证书或 keystore

Question

我在 Azure Web 应用程序中部署了一个 Java 应用程序，该应用程序与启用了 SSL 的第三方应用程序进行交互。我想在 azure web 应用程序中导入 java key 存储或其他应用程序的证书。

有人可以帮助在 azure web 应用程序中导入证书，以便我的应用程序可以信任第三方应用程序。

Answer 1

应用服务环境 (ASE) 是在 Azure 虚拟网络 (VNet) 中运行的 Azure 应用服务的部署。 ASE 是单租户系统。由于它是单租户，因此有些功能仅适用于 ASE，而 Multi-Tenancy 应用服务中不可用。

私有(private)客户端证书

一个常见的用例是将您的应用配置为客户端-服务器模型中的客户端。如果您使用私有(private) CA 证书保护服务器，则需要将客户端证书上传到您的应用程序。以下说明将把证书加载到运行您的应用程序的工作线程的信任库中。如果您将证书加载到一个应用，则可以将其与同一应用服务计划中的其他应用一起使用，而无需再次上传证书。

要将证书上传到 ASE 中的应用:

1. 为您的证书生成 .cer 文件。
2. 转到 Azure 门户中需要证书的应用
3. 转到应用程序中的 SSL 设置。单击上传证书。选择公开。选择本地计算机。提供一个名字。浏览并选择您的 .cer 文件。选择上传。
4. 复制指纹。
5. 转至应用程序设置。创建应用程序设置 WEBSITE_LOAD_ROOT_CERTIFICATES，并将指纹作为值。如果您有多个证书，则可以将它们放在相同的设置中，用逗号分隔，并且不能有空格，例如 84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

与配置该设置的应用处于同一应用服务计划中的所有应用都可以使用该证书。如果您需要它可用于不同应用服务计划中的应用，则需要在该应用服务计划中的应用中重复“应用设置”操作。要检查证书是否已设置，请转到 Kudu 控制台并在 PowerShell 调试控制台中发出以下命令:

dir cert:\localmachine\root

要执行测试，您可以使用以下 PowerShell 创建自签名证书并生成 .cer 文件:

$certificate = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname "*.internal-contoso.com","*.scm.internal-contoso.com

$certThumbprint = "cert:\localMachine\my\" + $certificate.Thumbprint
$password = ConvertTo-SecureString -String "CHANGETHISPASSWORD" -Force -AsPlainText

$fileName = "exportedcert.cer"
export-certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

来源: https://learn.microsoft.com/en-us/azure/app-service/environment/certificates#private-client-certificate