应用服务具有受信任的根证书列表,无法在应用服务的多租户 Windows (App Service for Windows)中修改这些证书,但可以在应用服务环境 (ASE) 的受信任根存储中加载自己的证书颁发机构 (CA) 证书,这是因为ASE中的应用服务是单租户环境。( Free, Basic, Standard, and Premium 应用服务计划都是多租户的,Isolated Plan是单租户)
当 Azure App Service for Windows 应用尝试通过 SSL 连接到外部终结点时,外部终结点服务上的证书必须由受信任的根 CA 颁发,这一点很重要。如果外部服务上的证书是自签名证书或私有 CA 证书,则托管应用的实例将不信任该证书,并且 SSL 握手将失败并出现以下错误:
"Could not establish trust relationship for the SSL/TLS secure channel".
在这种情况下,有两种解决方案:
- 修改外部服务所使用的证书,根据从应用服务中获取的受信任的根证书颁发机构列表中的CA机构所颁发的证书。
- 如果无法修改外部服务终结点证书或需要使用专用 CA 证书,请在应用服务环境 (ASE) 上托管应用,并在受信任的根存储中加载自己的 CA 证书
如何使用 Kudu 在应用服务上获取受信任根 CA 的列表
如何打开Kudu管理页面
转到 Azure App Service的门户,在目录中打开 “开发工具 > 高级工具 ”,然后单击“转到 ->”。将为 Kudu 工具打开一个新的浏览器页面
接下来的步骤将取决于是否是 Windows 或 Linux 应用。
Windows
转到调试控制台 > Powershell,将出现一个 Powershell 窗口。在控制台中发出以下命令:
dir cert:\localmachine\root
注意:一定是要进入PowerShell窗口,不能是CMD,否则会遇见:The specified path is invalid 错误
Linux
转到 SSH 并发出以下命令:
cd /etc/ssl/certs
ls | find *.pem
参考资料
Root CA on App Service : https://azure.github.io/AppService/2021/06/22/Root-CA-on-App-Service-Guide.html