适用于:开发人员|基本|标准|高级
Azure API 管理允许在受信任的根和中间证书存储中的计算机上安装 CA 证书。 如果服务需要自定义 CA 证书,则应使用此功能。
本文介绍如何在 Azure 门户中管理 API 管理实例的 CA 证书。 例如,如果使用自签名客户端证书,可以将自定义受信任的根证书上传到 API 管理。
上传到 API 管理的 CA 证书只能由托管 API 管理网关用于证书验证。 如果使用 自承载网关,可以了解如何在本文后面 为自承载网关创建自定义 CA 。
注意
目前,此功能在 工作区中不可用。
注意
建议使用 Azure Az PowerShell 模块与 Azure 交互。 若要开始,请参阅 安装 Azure PowerShell。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az。
上传 CA 证书
请按照以下步骤上传新的 CA 证书。 如果尚未创建 API 管理实例,请参阅 “创建 API 管理服务实例”。
在 Azure 门户中转到您的 Azure API Management 实例。
在左侧菜单中的 “安全性”下,选择“ 证书”。 在“ 证书 ”页上,选择 “CA 证书>+ 添加”。
在 “上传 CA 证书 ”窗口中,选择文件图标并浏览证书.cer文件。 在 “应用商店 ”框中,选择证书存储。 只需要公钥,因此密码是可选的。
选择窗口底部的 “添加 ”按钮,然后选择“ 保存”。 此操作可能需要几分钟时间。
注意
还可以使用 New-AzApiManagementSystemCertificate PowerShell 命令上传 CA 证书。
删除 CA 证书
选择证书,然后在 ...菜单中选择“删除”。
为自托管网关创建自定义 CA
如果使用 自承载网关,则不支持通过上传到 API 管理服务的 CA 根证书验证服务器和客户端证书。 若要建立信任,请配置特定的客户端证书,使其被网关作为一个自定义的证书颁发机构所信任。
使用 网关证书颁发机构 REST API 为自承载网关创建和管理自定义 CA。 创建自定义 CA 的步骤:
- 将证书 .pfx 文件添加到 API 管理实例。
- 使用 网关证书颁发机构 - 创建或更新 REST API 将证书与自管理网关相关联。