📚
Azureで証明書を扱うときに気をつけること
はじめに
証明書を扱うときに気を付けることがあるためまとめる。
証明書の種類
- App Service証明書
- マネージド証明書
- 無料証明書
- 自己署名証明書(これはAzureの世界というよりは自作)
- Let's Encrypt(無料だがちゃんとCAの認証を得た証明書)
マネージド証明書とは
- 特定のサービスに閉じて利用できる無料の証明書である。
- 利用上の制約が複数存在する。例えば、App Serviceの場合はエクスポートができない、ワイルドカードは利用できないといった制約。
Key Vaultへの証明書格納
- KeyVaultの中の設定で自己署名証明書を作成できる。
Application Gatewayでの証明書の扱い
- 自己署名証明書は利用できる。ただし、バックエンドプールがVMなど、自己署名証明書を利用できることが前提である。
- そのため、後述のApp Serviceがバックエンドにある場合は利用できない。(≒Application Gatewayとしての仕様で利用不可ではない)
- SSL終端を使い場合に、リスナーにアップロードする証明書はリーフ証明書だけではNG
- AppGW向けに自己署名証明を作成する手順は公式ドキュメントを参照
App Serviceでの証明書の扱い
- 自己署名証明書は利用できない。Windowsが信頼対象としている認証局による署名が必要である。
- マネージド証明書を利用する場合は、DNSサーバにてCNAME(<app-name>.azurewebsites.net)の変更が必要になる。
- 証明書を独自に準備するときには要件に従う必要がある。
- 例えば、pfxの形式・中間証明書およびルート証明書が含まれていること
API Managementでの証明書の扱い
- API Managementでもカスタムドメインのマネージド証明書が利用できる
- ただし執筆時点ではプレビュー機能である。
TIPS
- 整理の中でApplication Gateway→App Serviceの連携についてタメになる記事があったので残しておく
Discussion