如何在 Azure API 管理中添加自定义 CA 证书

Azure API 管理允许在受信任的根证书和中间证书存储中的计算机上安装 CA 证书。 如果服务需要自定义 CA 证书,则应使用此功能。

本文介绍如何在 Azure 门户中管理 Azure API 管理服务实例的 CA 证书。 例如,如果使用自签名客户端证书,可以将自定义受信任的根证书上传到 API 管理。

上传到 API 管理的 CA 证书只能用于托管 API 管理网关的证书验证。 如果使用自承载网关,请了解如何为自承载网关创建自定义 CA,本文稍后将作介绍。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

上传 CA 证书

Azure 门户中的 CA 证书

请按照以下步骤来上传新的 CA 证书。 如果尚未创建 API 管理服务实例,请参阅教程创建 API 管理服务实例

  1. 在 Azure 门户中导航到 Azure API 管理服务实例。

  2. 在菜单的“安全”下,选择“证书”>“CA 证书”>“+ 添加”。

  3. 浏览证书 .cer 文件并选定证书存储。 只需要公钥,因此密码是可选的。

    在 Azure 门户中添加 CA 证书

  4. 选择“保存”。 此操作可能需要几分钟的时间。

注意

  • 分配证书的过程可能需要 15 分钟或更久,这取决于部署规模。 开发人员 SKU 在此过程中有停机时间。 基本 SKU 和更高级别的 SKU 在此过程中没有停机时间。
  • 也可以使用 New-AzApiManagementSystemCertificate PowerShell 命令上传 CA 证书。

删除 CA 证书

选择证书,然后选择上下文菜单 (...) 中的“删除”。

为自承载网关创建自定义 CA

如果使用自承载网关,则不支持使用上传到 API 管理服务的 CA 根证书验证服务器和客户端证书。 若要建立信任,请配置特定的客户端证书,使其被网关作为一个自定义的证书颁发机构所信任。

使用网关证书颁发机构 REST API 为自承载网关创建和管理自定义 CA。 创建自定义 CA 的步骤:

  1. 向 API 管理实例添加证书 .pfx 文件。
  2. 使用网关证书颁发机构 - 创建或更新 REST API,将证书与自管理网关关联。