إنشاء شهادة App Service وإدارتها لتطبيق الويب الخاص بك

توضح هذه المقالة كيفية إنشاء شهادة App Service وتنفيذ مهام الإدارة مثل تجديد الشهادات ومزامنتها وحذفها. بمجرد حصولك على شهادة App Service، يمكنك استيرادها إلى تطبيق App Service. شهادة App Service هي شهادة خاصة تتم إدارتها بواسطة Azure. فهي تجمع بين بساطة إدارة الشهادات الآلية، ومرونة خيارات التجديد والتصدير.

إذا قمت بشراء شهادة App Service من Azure، فإن Azure تدير المهام التالية:

• تعتني بعملية الشراء من GoDaddy.
• تقوم بالتحقق من مجال الشهادة.
• يحتفظ بالشهادة في Azure Key Vault.
• إدارة تجديد الشهادة.
• يزامن الشهادة تلقائيًا مع النسخ المستوردة في تطبيقات خدمة التطبيقات.

إشعار

بعد تحميل شهادة إلى تطبيق، يتم تخزين الشهادة في وحدة توزيع مرتبطة بمجموعة موارد خطة App Service والمنطقة وتركيبة نظام التشغيل، والتي تسمى داخليًا مساحة ويب. بهذه الطريقة، يمكن الوصول إلى الشهادة من قبل التطبيقات الأخرى في نفس مجموعة الموارد ومجموعة المنطقة. تتم مشاركة الشهادات التي تم تحميلها أو استيرادها إلى App Service مع App Services في نفس وحدة التوزيع.

المتطلبات الأساسية

• ⁧إنشاء تطبيق App Service⁧. يجب أن تكون خطة App Service للتطبيق في المستوى الأساسي أو القياسي أو المتميز أو المعزول. راجع توسيع نطاق تطبيق لتحديث المستوى.

إشعار

حاليا، شهادات App Service غير مدعومة في السحب الوطنية ل Azure.

شراء شهادة App Service وتكوينها

شراء الشهادة

1. انتقل إلى صفحة إنشاء شهادة App Service لبدء عملية الشراء.

   إشعار

   يتم إصدار شهادات App Service المشتراة من Azure بواسطة GoDaddy. بالنسبة لبعض المجالات، يجب السماح صراحة ل GoDaddy كمصدر شهادة عن طريق إنشاء سجل مجال CAA بالقيمة 0 issue godaddy.com.

   

2. لتكوين الشهادة، استخدم الجدول التالي. عند الانتهاء، حدد Review + Create، ثم حدد Create.

   الإعدادات	‏‏الوصف
   الاشتراك	اشتراك Azure لإقرانه بالشهادة.
   مجموعة الموارد	مجموعة الموارد التي ستتضمن الشهادة. يمكنك إما إنشاء مجموعة موارد جديدة أو تحديد نفس مجموعة الموارد مثل تطبيق App Service الخاص بك.
   SKU	تحدد نوع الشهادة المراد إنشاؤها، سواء كانت شهادة قياسية أو شهادة أحرف البدل.
   اسم مضيف المجال العاري	حدد مجال الجذر. توفر الشهادة الصادرة الأمان لكل من المجال الجذر والمجال www الفرعي. في الشهادة التي تم إصدارها، يحدد حقل الاسم العام المجال الجذر، ويحدد حقل الاسم البديل للموضوع المجالwww. لتوفير الأمان لمجال فرعي فقط، حدد اسم المجال المؤهل بالكامل للمجال الفرعي، على سبيل المثال، mysubdomain.contoso.com.
   اسم الشهادة	اسم مألوف لشهادة App Service الخاصة بك.
   تمكين التجديد التلقائي	حدد ما إذا كنت تريد تجديد الشهادة تلقائيًا قبل انتهاء الصلاحية. يمدد كل تجديد انتهاء صلاحية الشهادة لمدة عام واحد. يتم فرض التكلفة على اشتراكك.

3. عند اكتمال النشر، حدد Go to resource.

تخزين الشهادة في Azure Key Vault

Key Vault هي خدمة Azure تساعد على حماية مفاتيح التشفير والأسرار المستخدمة من قبل التطبيقات والخدمات السحابية. بالنسبة لشهادات App Service، نوصي باستخدام Key Vault. بعد الانتهاء من عملية شراء الشهادة، يجب إكمال بضع خطوات أخرى قبل البدء في استخدام الشهادة.

1. في صفحة App Service Certificates، حدد الشهادة. في قائمة الشهادة، حدد Certificate Configuration>Step 1: Store.

   

2. في صفحة حالة Key Vault، حدد Select from Key Vault.

3. إذا قمت بإنشاء مخزن جديد، فقم بإعداد المخزن استنادًا إلى الجدول التالي، وتأكد من استخدام نفس الاشتراك ومجموعة الموارد مثل تطبيق App Service.

   الإعدادات	‏‏الوصف
   مجموعة الموارد	موصى به: نفس مجموعة الموارد مثل شهادة خدمة التطبيق.
   اسم خزنة المفاتيح	اسم فريد يستخدم أحرف أبجدية رقمية وشرطات فقط.
   المنطقة	نفس موقع تطبيق App Service الخاص بك.
   مستوى الأسعار	للحصول على معلومات، راجع تفاصيل تسعير Azure Key Vault.
   أيام الاحتفاظ بالخزائن المحذوفة	عدد الأيام، بعد الحذف، تظل الكائنات قابلة للاسترداد. (راجع نظرة عامة على الحذف المبدئي ل Azure Key Vault.) تعيين قيمة بين 7 و90.
   الحماية من الإزالة	يؤدي تمكين هذا الخيار إلى فرض بقاء كافة الكائنات المحذوفة في حالة حذف مبدئي طوال مدة فترة الاستبقاء.

4. حدد Next ثم حدد Vault access policy. حاليا، تدعم شهادات App Service نهج الوصول إلى Key Vault فقط، وليس نموذج RBAC.

5. حدد مراجعة + إنشاء، ثم حدد إنشاء.

6. بعد إنشاء key vault، لا تحدد Go to resource. انتظر حتى تتم إعادة تحميل صفحة Select key vault من Azure Key Vault .

7. حدد تحديد.

8. بعد تحديد المخزن، أغلق صفحة مستودع Key Vault. يجب أن يعرض خيار Step 1: Store علامة اختيار خضراء تدل على نجاح الخطوة. اترك الصفحة مفتوحة للخطوة التالية.

تأكيد ملكية المجال

1. من نفس صفحة تكوين الشهادة كما في القسم السابق، حدد الخطوة 2: التحقق.

   

2. حدد التحقق من خدمة التطبيقات. نظرا لأنك قمت بتعيين المجال إلى تطبيق الويب الخاص بك في وقت سابق في هذا القسم، فقد تم التحقق من المجال بالفعل. لإنهاء هذه الخطوة، ما عليك سوى تحديد التحقق، ثم حدد تحديث حتى تظهر الرسالة Certificate is Domain Verified.

يتم دعم طرق التحقق من المجال التالية:

الطريقة	‏‏الوصف
التحقق من خدمة التطبيقات	الخيار الأكثر ملاءمة عندما يكون المجال معينًا بالفعل إلى تطبيق App Service في نفس الاشتراك لأن تطبيق App Service قد تحقق بالفعل من ملكية المجال. راجع الخطوة الأخيرة في تأكيد ملكية المجال.
التحقق من المجال	قم بتأكيد مجال خدمة التطبيق الذي اشتريته من Azure. يضيف Azure سجل TXT للتحقق تلقائيًا نيابة عنك ويكمل العملية.
التحقق من البريد	قم بتأكيد المجال عن طريق إرسال بريد إلكتروني إلى مسؤول المجال. يتم توفير الإرشادات عند تحديد الخيار.
التحقق اليدوي	قم بتأكيد المجال باستخدام سجل DNS TXT أو صفحة HTML. (ينطبق هذا الأخير فقط على الشهادات القياسية. راجع الملاحظة التالية.) يتم توفير الخطوات بعد تحديد الخيار. لا يعمل خيار صفحة HTML لتطبيقات الويب مع تمكين HTTPS فقط . للتحقق من المجال عبر سجل DNS TXT إما للمجال الجذر (على سبيل المثال، contoso.com) أو المجال الفرعي (على سبيل المثال، www.contoso.com أو test.api.contoso.com) وبغض النظر عن شهادة SKU، تحتاج إلى إضافة سجل TXT على مستوى المجال الجذر، باستخدام @ للاسم ورمز التحقق من المجال للقيمة في سجل DNS الخاص بك.

هام

باستخدام الشهادة القياسية، تحصل على شهادة لمجال المستوى الأعلى المطلوب والمجال www الفرعي، على سبيل المثال، contoso.com وwww.contoso.com. ومع ذلك، يستخدم كل من التحقق من خدمة التطبيقات والتحقق اليدوي التحقق من صفحة HTML، والذي لا يدعم www المجال الفرعي عند إصدار شهادة أو إعادة مفتاحها أو تجديدها. بالنسبة للشهادة القياسية، استخدم التحقق من المجال والتحقق من البريد لتضمين www المجال الفرعي مع مجال المستوى الأعلى المطلوب في الشهادة.

بمجرد التحقق من صحة الشهادة، تكون جاهزا لاستيرادها إلى تطبيق App Service.

تجديد شهادة App Service

بشكل افتراضي، تتمتع شهادات App Service بصلاحية مدتها عام واحد. قبل تاريخ انتهاء الصلاحية، يمكنك تجديد شهادات App Service تلقائيا أو يدويا بزيادات مدتها سنة واحدة. تمنحك عملية التجديد بشكل فعال شهادة خدمة تطبيقات جديدة مع تمديد تاريخ انتهاء الصلاحية إلى عام واحد من تاريخ انتهاء صلاحية الشهادة الحالية.

إشعار

بدءا من 23 سبتمبر 2021، إذا لم تكن قد تحققت من المجال في آخر 395 يوما، فستتطلب شهادات App Service التحقق من المجال أثناء عملية التجديد أو التجديد التلقائي أو إعادة المفتاح. يظل أمر الشهادة الجديد في وضع "الإصدار المعلق" أثناء عملية التجديد أو التجديد التلقائي أو إعادة المفتاح حتى تكمل التحقق من المجال.

على عكس الشهادة المجانية المدارة لخدمة التطبيقات، لا تحتوي شهادات App Service المشتراة على إعادة التحقق التلقائي للمجال. يؤدي الفشل في التحقق من ملكية المجال إلى فشل عمليات التجديد. لمزيد من المعلومات حول كيفية التحقق من شهادة App Service، راجع تأكيد ملكية المجال.

تتطلب عملية التجديد أن يكون لمدير الخدمة لخدمة التطبيقات الأذونات المطلوبة على مخزن المفاتيح الخاص بك. يتم إعداد هذه الأذونات لك عند استيراد شهادة App Service من خلال مدخل Microsoft Azure. تأكد من عدم إزالة هذه الأذونات من مخزن المفاتيح الخاص بك.

1. لتغيير إعداد التجديد التلقائي لشهادة App Service في أي وقت، في صفحة App Service Certificates، حدد الشهادة.

2. في القائمة اليسرى، حدد إعدادات التجديد التلقائي.

3. حدد تشغيل أو إيقاف تشغيل، ثم حدد حفظ.

   إذا قمت بتشغيل التجديد التلقائي، يمكن أن تبدأ الشهادات في التجديد التلقائي قبل 32 يومًا من انتهاء الصلاحية.

   

4. لتجديد الشهادة يدويًا بدلاً من ذلك، حدد تجديد يدوي. يمكنك طلب تجديد شهادتك يدويا قبل 60 يوما من انتهاء الصلاحية، ولكن لا يمكن إصدار الشهادات لأكثر من 397 يوما.

5. بعد اكتمال عملية التجديد، حدد مزامنة البيانات.

   تقوم عملية المزامنة تلقائيًا بتحديث روابط اسم المضيف للشهادة في خدمة التطبيقات دون التسبب في أي توقف عن العمل لتطبيقاتك.

   إشعار

   إذا لم تنقر على مزامنة البيانات، فستقوم App Service تلقائيًا بمزامنة شهادتك في غضون 24 ساعة.

أعد طلب شهادة App Service

إذا كنت تعتقد أن المفتاح الخاص لشهادتك قد تم اختراقه، يمكنك إعادة إدخال شهادتك. يقوم هذا الإجراء بتدوير الشهادة بشهادة جديدة صادرة من المرجع المصدق.

1. في صفحة App Service Certificates، حدد الشهادة. من القائمة اليسرى، حدد Rekey and Sync.

2. لبدء العملية، حدد Rekey. قد تستغرق هذه العملية من 1 إلى 10 دقائق حتى تكتمل.

   

3. قد يطلب منك أيضًا إعادة تأكيد ملكية المجال.

4. بعد اكتمال عملية إعادة المفتاح، حدد مزامنة.

   تقوم عملية المزامنة تلقائيًا بتحديث روابط اسم المضيف للشهادة في خدمة التطبيقات دون التسبب في أي توقف عن العمل لتطبيقاتك.

   إشعار

   إذا لم تنقر على مزامنة البيانات، فستقوم App Service تلقائيًا بمزامنة شهادتك في غضون 24 ساعة.

تصدير شهادة App Service

نظرًا لأن شهادة خدمة التطبيق هي سر Key Vault، يمكنك تصدير نسخة كملف PFX، والذي يمكنك استخدامه لخدمات Azure الأخرى أو خارج Azure.

هام

الشهادة المصدرة هي أداة غير مدارة. لا تقوم App Service بمزامنة هذه البيانات الاصطناعية عند تجديدشهادة App Service. يجب تصدير الشهادة المجددة وتثبيتها عند الضرورة.

مدخل Microsoft Azure

1. في صفحة App Service Certificates، حدد الشهادة.

2. في القائمة اليسرى، حدد تصدير الشهادة.

3. حدد Open Key Vault Secret.

4. حدد الإصدار الحالي للشهادة.

5. حدد تنزيل كشهادة.

Azure CLI

قم بتشغيل الأوامر التالية في Azure Cloud Shell، أو قم بتشغيلها محليا إذا قمت بتثبيت Azure CLI. استبدل العناصر النائبة بالأسماء التي استخدمتها عند ⁧⁩شراء شهادة App Service⁧⁩.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

ملف PFX الذي تم تنزيله هو ملف PKCS12 أولي يحتوي على كل من الشهادات العامة والخاصة ويحتوي على كلمة مرور استيراد سلسلة فارغة. يمكنك تثبيت الملف محليًا عن طريق ترك حقل كلمة المرور فارغًا. لا يمكنك تحميل الملف كما هو في App Service لأن الملف غير محمي بكلمة مرور.

استخدام Azure Advisor لشهادة App Service

تم دمج شهادة App Service مع Azure Advisor لتوفير توصيات الموثوقية عندما تتطلب شهادتك التحقق من المجال. يجب التحقق من ملكية المجال لشهادتك أثناء عملية التجديد أو التجديد التلقائي أو إعادة المفتاح إذا لم تكن قد تحققت من المجال في آخر 395 يوما. للتأكد من عدم تفويت أي شهادة تتطلب التحقق أو المخاطرة بأي شهادة من انتهاء صلاحيتها، يمكنك utlize Azure Advisor لعرض التنبيهات وإعدادها لشهادة App Service.

عرض توصية "Advisor"

لعرض توصية Advisor لشهادة App Service:

1. انتقل إلى صفحة Azure Advisor.

2. من القائمة اليسرى، حدد Recommendations>Reliability

3. حدد خيار عامل التصفية النوع يساوي وابحث عن App Service Certificates من القائمة المنسدلة. إذا لم تكن القيمة موجودة في القائمة المنسدلة، فهذا يعني أنه لم يتم إنشاء أي توصية لموارد شهادة App Service لأن أيا منها لا يتطلب التحقق من ملكية المجال.

إنشاء تنبيهات Advisor

يمكنك [إنشاء تنبيهات Azure Advisor على توصيات جديدة] باستخدام تكوينات مختلفة. لإعداد Advisor Alerts خصيصا لشهادة App Serivice حتى تتمكن من الحصول على إعلامات عندما تتطلب شهادتك التحقق من صحة ملكية المجال:

1. انتقل إلى صفحة Azure Advisor.

2. من القائمة اليسرى، حدد Monitoring>Alerts (Preview)

3. انقر فوق + New Advisor Alert على شريط الإجراءات في الأعلى. سيؤدي ذلك إلى فتح شفرة جديدة تسمى "إنشاء تنبيهات Advisor".

4. ضمن Condition حدد ما يلي:

   تم التكوين بواسطة	نوع التوصية
   نوع التوصية	التحقق من المجال المطلوب لإصدار شهادة App Service

5. املأ بقية الحقول المطلوبة، ثم حدد الزر إنشاء تنبيه في الأسفل.

حذف شهادة خدمة التطبيقات

إذا قمت بحذف شهادة App Service، فإن عملية الحذف لا رجعة فيها ونهائية. النتيجة هي شهادة تم إبطالها، ويصبح أي ربط في App Service يستخدم الشهادة غير صالح.

1. في صفحة App Service Certificates، حدد الشهادة.

2. من القائمة اليسرى، حدد نظرة عامة>حذف.

3. عند فتح مربع التأكيد، أدخل اسم الشهادة، ثم حدد موافق.

الأسئلة الشائعة

لا تحتوي شهادة App Service على أي قيمة في Key Vault

ربما لم يتم التحقق من شهادة App Service بعد. حتى يتم تأكيد ملكية المجال، تكون شهادة App Service غير جاهزة للاستخدام. كبيانات Initialize سرية ل Key Vault، يحتفظ بعلامة، وتظل قيمته ونوع المحتوى فارغين. عند تأكيد ملكية المجال، يظهر سر key vault قيمة ونوع محتوى، وتتغير العلامة إلى Ready.

لا يمكنني تصدير شهادة App Service باستخدام PowerShell

ربما لم يتم التحقق من شهادة App Service بعد. حتى يتم تأكيد ملكية المجال، تكون شهادة App Service غير جاهزة للاستخدام.

ما التغييرات التي تجريها عملية إنشاء شهادة App Service على خزنة المفاتيح الموجودة؟

تقوم عملية الإنشاء بإجراء التغييرات التالية:

• إضافة نهجي وصول في المخزن:
  • Microsoft.Azure.WebSites (أو Microsoft Azure App Service)
  • موفر موارد CSM لموزع شهادات Microsoft (أو Microsoft.Azure.CertificateRegistration)
• ينشئ تأمين حذف يسمى AppServiceCertificateLock على المخزن لمنع الحذف العرضي لمخزن المفاتيح.

المحتوى ذو الصلة

• تأمين اسم DNS مخصص مع ربط TLS/SSL في خدمة تطبيق Azure
• فرض HTTPS
• فرض TLS 1.1/1.2
• استخدام شهادة TLS/SSL في التعليمات البرمجية الخاصة بك في Azure App Service
• الأسئلة المتداولة حول إنشاء الموارد أو حذفها في Azure App Service