如何获取Azure的云服务的SSL证书

Posted 2023-04-30

SSL证书需要到CA机构申请，有的云平台也集成了某些CA的SSL证书，企业网站或者APP建议申请OV或者EV SSL证书，推荐申请地址：http://www.wosign.com/price.htm
配置证书之前，要先确保要启用证书的域名已经和web app绑定成功，域名绑定成功后，就可以开始配置SSL证书了。首先下载OpenSSL tool，开启一个命令行窗口，运行下面命令。

openssl req -new -nodes -keyout myserver.key -out server.csr -newkey
rsa:2048

最后一步需要输入一个密码，要记住保管好。命令运行完毕后，在当前目录会有2个输出文件，一个key，一个csr。现在需要把这个csr文件提交到申请证书的CA，然后下载证书。

下载完毕后会得到2个文件，一个crt，一个p7b，回到之前命令行窗口，运行下面的命令，生成pfx文件，会被问到密码，就是上一个openssl命令里最后一步的密码。

openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in
myserver.crt

回到Azure的管理门户，在web app的Custom domains和SSL页面上传最后生成出来的pfx文件，填入密码。

之后就会看到Certification下多了一个证书，在SSL里选择以下，保存后，就可以用https访问web app了。 参考技术A 云服务器SSL证书，可以淘宝Gworg快速获取。

将 Azure SSL 证书用于对讲帮助中心

【中文标题】将 Azure SSL 证书用于对讲帮助中心

【英文标题】：Use an Azure SSL certificate with Intercom help center

【发布时间】：2019-07-16 09:08:59

【问题描述】：

我使用 CNAME 将 mydomain.com 的子域 help.mydomain.com 链接到我的对讲机帮助中心。通过 HTTP 一切正常。

我想使用我在 Azure 订阅中拥有的应用服务证书来使此子域通过 HTTPS 工作。这里的重点是我没有任何 webapp 可以链接到子域和证书，​​因为它只是一个重定向。

我在 Intercom 网站上阅读了以下文档，但它对 Azure 没有帮助：https://developers.intercom.com/installing-intercom/docs/set-up-your-custom-domain?showHidden=f2cb6

如何使用 Azure 实现这一点？

【问题讨论】：

您能否解释一下您认为 Azure 在此场景中的哪些参与，而不仅仅是用于生成证书的工具？当您说“在我的 Azure 订阅中”时，您的意思是保存在 Key Vault 的实例中，还是其他东西？目前我无法确定你在问什么。

好的，在阅读了 Intercom 文档后，我猜您需要帮助的是“使用您自己的 SSL 证书（使用 TLS 终止代理）”的部分 - 您是在问如何在 Azure 中设置 TLS 终止代理？

我在 Azure 中有一个应用服务证书，我将它与我的所有 Web 应用程序一起使用，我想在尚未涉及 Azure 的情况下使用它。是否可以通过在 Azure 中配置一个 TLS 终止代理来完成？

【参考方案1】：

好的，我得到了答案，它使用 Azure CDN 工作。应用程序网关非常困难，我能够进行重定向，但据我所知，它不会进行 DNS 屏蔽，因此它不会做你想做的事情并保留你的自定义域。

现在让这个与 Azure CDN 一起工作。

创建 Azure CDN 配置文件我选择了标准 Microsoft CDN（Verizon Premium 不起作用） 选择立即创建新的CDN端点，来源类型->自定义来源；源主机名-> custom.intercom.help 现在在您创建的 CDN 配置文件端点上选择 +自定义域。 使用 help.yourdomain.com -> help-xxxx.azureedge.net 向 Azure DNS 主机添加 CNAME 记录 现在添加自定义域，它应该允许您使用 help.mydomain.com 然后在您的自定义域上启用 HTTPS（这需要一个小时左右）

请注意，我第一次尝试此操作时，由于某种原因未能创建 SSL 证书。下次它运行没有问题，可能只是一个天蓝色的失败。

Verzion 无法正常工作，不知道为什么。

【讨论】：

真棒@Dan Parker 我按照您的确切步骤操作，它完美无缺。谢谢！

【参考方案2】：

可能有几种方法可以在 Azure 中实现，但对我来说，合乎逻辑的选择似乎是创建一个 Application Gateway 的实例并在那里配置 TLS 终止。有一个 documentation article 描述了如何设置应用程序网关以将流量转发到 Azure 本身之外的端点，因此这似乎是受支持的方案。

【讨论】：

这将花费大约 20 美元/月，并且需要像 aws cloudfront 这样的东西来重定向。

另外，我在使用应用网关屏蔽 URL 时遇到问题，这不起作用，CDN 方法还是更好***.com/questions/60042617/…