إضافة شهادات TLS/SSL وإدارتها في Azure App Service

  • مقالة

يمكنك إضافة شهادات أمان رقمية لاستخدامها في التعليمات البرمجية للتطبيق الخاص بك أو لتأمين أسماء DNS المخصصة في Azure App Service، والتي توفر خدمة استضافة ويب قابلة للتطوير بدرجة كبيرة وذاتية التصحيح. تُسمى حاليًا شهادات أمان طبقة النقل (TLS)، والمعروفة أيضًا سابقًا بشهادات طبقة مآخذ التوصيل الآمنة (SSL)، تساعدك هذه الشهادات الخاصة أو العامة على تأمين اتصالات الإنترنت عن طريق تشفير البيانات المرسلة بين المستعرض الخاص بك، ومواقع الويب التي تزورها، وخادم موقع الويب.

يسرد الجدول التالي الخيارات المتاحة أمامك لإضافة الشهادات في App Service:

خيار ‏‏الوصف
إنشاء شهادة مجانية مُدارة من App Service شهادة خاصة مجانية وسهلة الاستخدام إذا كنت بحاجة فقط إلى تأمين مجالك المخصص في App Service.
استيراد شهادة App Service شهادة خاصة تديرها Azure. فهي تجمع بين بساطة إدارة الشهادات الآلية، ومرونة خيارات التجديد والتصدير.
استيراد شهادة من Key Vault مفيد إذا كنت تستخدم Azure Key Vault لإدارة شهادات PKCS12. راجع متطلبات الشهادة الخاصة.
تحميل شهادة خاصة إذا كان لديك بالفعل شهادة خاصة من موفر خارجي، يمكنك تحميلها. راجع متطلبات الشهادة الخاصة.
تحميل شهادة عامة لا يتم استخدام الشهادات العامة لتأمين المجالات المخصصة، ولكن يمكنك تحميلها في التعليمات البرمجية الخاصة بك إذا كنت بحاجة إليها للوصول إلى الموارد البعيدة.

المتطلبات الأساسية

متطلبات الشهادة الخاصة

شهادة إدارة App Service المجانية وشهادة App Service تفي بالفعل بمتطلبات App Service. إذا اخترت تحميل أو استيراد شهادة خاصة إلى App Service، يجب أن تفي شهادتك بالمتطلبات التالية:

  • تم تصديره كملف PFX محمي بكلمة مرور، مشفر باستخدام DES الثلاثي.
  • تحتوي على مفتاح خاص بطول 2048 بت على الأقل
  • تحتوي على جميع الشهادات المتوسطة والشهادة الجذرية في سلسلة الشهادات.

لتأمين مجال مخصص في ربط TLS، تحتوي الشهادة على متطلبات إضافية:

  • يحتوي على استخدام مفتاح موسع لمصادقة الخادم (OID = 1.3.6.1.5.5.7.3.1)
  • أن يتم توقيعها من قِبل مرجع مصدق موثوق به

إشعار

تعمل شهادات Elliptic Curve Cryptography (ECC) مع خدمة التطبيقات ولكن لا تغطيها هذه المقالة. للحصول على الخطوات الدقيقة لإنشاء شهادات ECC، اعمل مع المرجع المصدق الخاص بك.

إشعار

بعد إضافة شهادة خاصة إلى تطبيق، يتم تخزين الشهادة في وحدة نشر مرتبطة بمجموعة موارد خطة App Service والمنطقة ومجموعة نظام التشغيل، وتسمى داخليا مساحة ويب. وبهذه الطريقة، يمكن الوصول إلى الشهادة لتطبيقات أخرى في نفس مجموعة الموارد والمنطقة ومجموعة نظام التشغيل. تتم مشاركة الشهادات الخاصة التي يتم تحميلها أو استيرادها إلى App Service مع App Services في نفس وحدة التوزيع.

يمكنك إضافة ما يصل إلى 1000 شهادة خاصة لكل مساحة ويب.

إنشاء شهادة مُدارة مجانًا

تُعد الشهادة المُدارة لـ App Service المجانية حلاً جاهزًا لتأمين اسم DNS المخصص في App Service. دون أي إجراء منك، تتم إدارة شهادة خادم TLS/SSL هذه بالكامل بواسطة App Service ويتم تجديدها تلقائيا بشكل مستمر بزيادات مدتها ستة أشهر، قبل 45 يوما من انتهاء الصلاحية، طالما أن المتطلبات الأساسية التي قمت بإعدادها تظل كما هي. يتم تحديث جميع الارتباطات المقترنة بالشهادة المجددة. يمكنك إنشاء الشهادة وربطها بمجال مخصص، والسماح لخدمة التطبيقات بالباقي.

هام

قبل إنشاء شهادة مُدارة مجانية، تأكد من استيفاء المتطلبات الأساسية لتطبيقك.

يتم إصدار الشهادات المجانية من قبل DigiCert. لبعض المجالات، يجب أن تسمح صراحة لـ DigiCert كمصدر شهادات بإنشاء سجل مجال CAA بالقيمة: 0 issue digicert.com.

يدير Azure الشهادات بشكل كامل نيابة عنك، لذلك يمكن لأي جانب من جوانب الشهادة المدارة، بما في ذلك مصدر الجذر، أن يتغير في أي وقت. هذه التغييرات خارجة عن سيطرتك. تأكد من تجنب التبعيات الثابتة وشهادات الممارسة "التثبيت" إلى الشهادة المدارة أو أي جزء من التسلسل الهرمي للشهادة. إذا كنت بحاجة إلى سلوك تثبيت الشهادة، فأضف شهادة إلى مجالك المخصص باستخدام أي أسلوب متوفر آخر في هذه المقالة.

تأتي الشهادة المجانية بالقيود التالية:

  • لا يدعم شهادات أحرف البدل.
  • لا يدعم الاستخدام كشهادة عميل باستخدام بصمة إبهام الشهادة، والتي تم التخطيط لها للإهمال والإزالة.
  • لا يدعم DNS الخاص.
  • غير قابل للتصدير.
  • غير مدعومة في بيئة App Service (ASE).
  • يدعم فقط الأحرف الأبجدية الرقمية والشرطات (-) والنقاط (.).
  • يتم دعم المجالات المخصصة التي يصل طولها إلى 64 حرفا فقط.
  • يجب أن يكون لديك سجل A يشير إلى عنوان IP لتطبيق الويب الخاص بك.
  • غير مدعوم على التطبيقات التي لا يمكن الوصول إليها بشكل عام.
  • غير مدعومة بمجالات الجذر المدمجة مع Traffic Manager.
  • يجب أن يستوفي كل ما سبق لإصدار الشهادات وتجديدها بنجاح.

  1. في مدخل Microsoft Azure، من القائمة اليسرى، حدد App Services><اسم التطبيق>.

  2. في قائمة التنقل الخاصة بتطبيقك، حدد الشهادات. في جزء Managed certificates ، حدد Add certificate.

    لقطة شاشة لقائمة التطبيق مع تحديد

  3. حدد المجال المخصص للشهادة المجانية، ثم حدد Validate. عند اكتمال التحقق من الصحة، حدد إضافة. يمكنك إنشاء شهادة مدارة واحدة فقط لكل مجال مخصص مدعوم.

    عند اكتمال العملية، تظهر الشهادة في قائمة الشهادات المدارة .

    لقطة شاشة لجزء

  4. لتأمين مجال مخصص بهذه الشهادة، ما زلت بحاجة إلى إنشاء ربط الشهادة. اتبع الخطوات الواردة في تأمين اسم DNS مخصص مع ربط TLS/SSL في Azure App Service.

استيراد شهادة App Service

لاستيراد شهادة App Service، قم أولا بشراء شهادة App Service وتكوينها، ثم اتبع الخطوات هنا.

  1. في مدخل Microsoft Azure، من القائمة اليسرى، حدد App Services><اسم التطبيق>.

  2. من قائمة التنقل الخاصة بتطبيقك، حدد Certificates>Bring your own certificates (.pfx)>Add certificate.

  3. في Source، حدد Import App Service Certificate.

  4. في شهادة App Service، حدد الشهادة التي أنشأتها للتو.

  5. في الاسم المألوف للشهادة، امنح الشهادة اسما في تطبيقك.

  6. حدد التحقق من الصحة. عند نجاح التحقق من الصحة، حدد إضافة.

    لقطة شاشة لصفحة إدارة التطبيقات مع تحديد

    عند اكتمال العملية، تظهر الشهادة في قائمة إحضار الشهادات الخاصة بك.

    لقطة شاشة لجزء

  7. لتأمين مجال مخصص بهذه الشهادة، ما زلت بحاجة إلى إنشاء ربط الشهادة. اتبع الخطوات الواردة في تأمين اسم DNS مخصص مع ربط TLS/SSL في Azure App Service.

استيراد شهادة من Key Vault

إذا كنت تستخدم Azure Key Vault لإدارة شهاداتك، فيمكنك استيراد شهادة PKCS12 من Key Vault إلى App Service طالما أنها تفيبالمتطلبات.

تخويل App Service للقراءة من المخزن

بشكل افتراضي، لا يمتلك موفر موارد خدمة التطبيقات إمكانية الوصول إلى مخزن المفاتيح الخاص بك. لاستخدام مخزن مفاتيح لنشر شهادة، يجب تخويل الوصول للقراءة لموفر المورد إلى مخزن المفاتيح.

إشعار

حاليا، لا يسمح لك مدخل Microsoft Azure بتكوين شهادة App Service في Key Vault لاستخدام نموذج RBAC. ومع ذلك، يمكنك استخدام Azure CLI أو Azure PowerShell أو توزيع قالب ARM لتنفيذ هذا التكوين. للمزيد من المعلومات، راجع منح الوصول إلى مفاتيح Key Vault والشهادات والبيانات السرية باستخدام عنصر التحكم في الوصول المستند إلى دور Azure.

موفر الموارد معرف التطبيق الأساسي للخدمة أذونات سرية لمخزن المفاتيح أذونات شهادة Key vault
Microsoft Azure App Service أو Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd، وهو نفسه لجميع اشتراكات Azure

- لبيئة السحابة Azure Government، استخدم 6a02c803-dafd-4136-b4c3-5a6f318b4714.		 الحصول على الحصول على
Microsoft.Azure.CertificateRegistration الحصول على
List
المجموعة
حذف		 الحصول على
List

استيراد شهادة من المخزن الخاص بك إلى التطبيق الخاص بك

  1. في مدخل Microsoft Azure، من القائمة اليسرى، حدد App Services><اسم التطبيق>.

  2. من قائمة التنقل الخاصة بتطبيقك، حدد Certificates>Bring your own certificates (.pfx)>Add certificate.

  3. في المصدر، حدد استيراد من Key Vault.

  4. حدد Select key vault certificate.

    لقطة شاشة لصفحة إدارة التطبيقات مع تحديد

  5. لمساعدتك في تحديد الشهادة، استخدم الجدول التالي:

    الإعدادات ‏‏الوصف
    الاشتراك الاشتراك المقترن بخزنة المفاتيح.
    Key Vault المخزن الذي فيه الشهادة التي تريد استيرادها.
    شهاده من هذه القائمة، حدد شهادة PKCS12 الموجودة في المخزن. يتم سرد جميع شهادات PKCS12 الموجودة في المخزن مع بصمات الإبهام الخاصة بها؛ ولكن لا يتم دعم جميعها في App Service.

  6. عند الانتهاء من التحديد، حدد تحديد، التحقق من الصحة، ثم إضافة.

    عند اكتمال العملية، تظهر الشهادة في قائمة إحضار الشهادات الخاصة بك. إذا فشل الاستيراد مع وجود خطأ، فإن الشهادة لا تفي بمتطلبات App Service.

    لقطة شاشة لجزء

    إشعار

    إذا قمت بتحديث شهادتك في Key Vault بشهادة جديدة، فستقوم App Service تلقائيًا بمزامنة شهادتك في غضون 24 ساعة.

  7. لتأمين مجال مخصص بهذه الشهادة، ما زلت بحاجة إلى إنشاء ربط الشهادة. اتبع الخطوات الواردة في تأمين اسم DNS مخصص مع ربط TLS/SSL في Azure App Service.

تحميل شهادة خاصة

بعد الحصول على شهادة من موفر الشهادة، اجعل الشهادة جاهزة لخدمة التطبيقات باتباع الخطوات الواردة في هذا القسم.

دمج الشهادات المتوسطة

إذا كان المرجع المصدق يمنحك شهادات متعددة في سلسلة الشهادات، يجب دمج الشهادات باتباع نفس الترتيب.

  1. في محرر نصوص، افتح كل شهادة تم تلقيها.

  2. لتخزين الشهادة المدمجة، أنشئ ملفًا باسم mergedcertificate.crt.

  3. انسخ محتوى كل شهادة في هذا الملف. تأكد من اتباع تسلسل الشهادة المحدد بواسطة سلسلة الشهادات، بدءًا من شهادتك وانتهاءً بالشهادة الجذر، على سبيل المثال:

    -----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

تصدير شهادة خاصة مدمجة إلى PFX

الآن، قم بتصدير شهادة TLS/SSL المدمجة الخاصة بك باستخدام المفتاح الخاص الذي تم استخدامه لإنشاء طلب الشهادة الخاص بك. إذا أنشأت طلب الشهادة الخاص بك باستخدام OpenSSL، فأنت بذلك قد أنشأت ملف مفتاح خاص.

إشعار

تم تغيير التشفير الافتراضي OpenSSL v3 من 3DES إلى AES256، ولكن يمكن تجاوز هذا على سطر الأوامر -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. يستخدم OpenSSL v1 3DES كافتراضي، لذلك يتم دعم ملفات PFX التي تم إنشاؤها دون أي تعديلات خاصة.

  1. لتصدير شهادتك إلى ملف PFX، قم بتشغيل الأمر التالي، ولكن استبدل العناصر النائبة <ملف المفتاح الخاص > و<ملف الشهادة المدمجة> بالمسارات إلى المفتاح الخاص بك وملف الشهادة المدمج.

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

  2. عند مطالبتك، حدد كلمة مرور لعملية التصدير. عند تحميل شهادة TLS/SSL إلى App Service لاحقا، يجب توفير كلمة المرور هذه.

  3. إذا كنت تستخدم IIS أو Certreq.exe لإنشاء طلب الشهادة، فقم بتثبيت الشهادة إلى الجهاز المحلي، ثم قم بتصدير الشهادة إلى ملف PFX.

تحميل الشهادة إلى App Service

أنت الآن جاهز لتحميل الشهادة إلى App Service.

  1. في مدخل Microsoft Azure، من القائمة اليسرى، حدد App Services><اسم التطبيق>.

  2. من قائمة التنقل الخاصة بتطبيقك، حدد Certificates>Bring your own certificates (.pfx)>Upload Certificate.

    لقطة شاشة ل

  3. لمساعدتك في تحميل شهادة .pfx، استخدم الجدول التالي:

    الإعدادات ‏‏الوصف
    ملف شهادة PFX حدد ملف .pfx.
    شهادة كلمة المرور أدخل كلمة المرور التي قمت بإنشائها عند تصدير ملف PFX.
    اسم مألوف للشهادة اسم الشهادة الذي سيتم عرضه في تطبيق الويب الخاص بك.

  4. عند الانتهاء من التحديد، حدد تحديد، التحقق من الصحة، ثم إضافة.

    عند اكتمال العملية، تظهر الشهادة في قائمة إحضار الشهادات الخاصة بك.

    لقطة شاشة لجزء

  5. لتأمين مجال مخصص بهذه الشهادة، ما زلت بحاجة إلى إنشاء ربط الشهادة. اتبع الخطوات الواردة في تأمين اسم DNS مخصص مع ربط TLS/SSL في Azure App Service.

تحميل شهادة عامة

يتم اعتماد الشهادات العامة بتنسيق .cer .

إشعار

بعد تحميل شهادة عامة إلى أحد التطبيقات، لا يمكن الوصول إليها إلا بواسطة التطبيق الذي يتم تحميلها إليه. يجب تحميل الشهادات العامة إلى كل تطبيق ويب فردي يحتاج إلى الوصول. للحصول على سيناريوهات محددة لبيئة خدمة التطبيقات، راجع وثائق الشهادات وبيئة خدمة التطبيقات

يمكنك تحميل ما يصل إلى 1000 شهادة عامة لكل خطة App Service.

  1. في مدخل Microsoft Azure، من القائمة اليسرى، حدد App Services><اسم التطبيق>.

  2. من قائمة التنقل الخاصة بتطبيقك، حدد شهادات>شهادات المفتاح العام (.cer)>إضافة شهادة.

  3. لمساعدتك في تحميل شهادة .cer، استخدم الجدول التالي:

    الإعدادات ‏‏الوصف
    ملف شهادة CER حدد ملف .cer.
    اسم مألوف للشهادة اسم الشهادة الذي سيتم عرضه في تطبيق الويب الخاص بك.

  4. عندما تنتهي، حدد إضافة.

    لقطة شاشة للاسم وشهادة المفتاح العام للتحميل.

  5. بمجرد تحميل الشهادة، انسخ بصمة الشهادة وراجع جعل الشهادة قابلة للوصول.

تجديد شهادة منتهية الصلاحية

قبل انتهاء صلاحية الشهادة، تأكد من إضافة الشهادة المجددة إلى App Service، وتحديث أي روابط شهادة حيث تعتمد العملية على نوع الشهادة. على سبيل المثال، تتم مزامنة شهادة مستوردة من Key Vault، بما في ذلك شهادة App Service، تلقائيا إلى App Service كل 24 ساعة وتحديث ربط TLS/SSL عند تجديد الشهادة. بالنسبة للشهادة التي تم تحميلها، لا يوجد تحديث ربط تلقائي. استنادًا إلى السيناريو الخاص بك، راجع القسم المقابل:

تجديد شهادة محملة

عند استبدال شهادة منتهية الصلاحية، فإن الطريقة التي تقوم بها بتحديث ربط الشهادة بالشهادة الجديدة قد تؤثر سلبًا على تجربة المستخدم. على سبيل المثال، قد يتغير عنوان IP الوارد عند حذف ارتباط، حتى إذا كان هذا الربط مستندًا إلى IP. تكون هذه النتيجة مؤثرة بشكل خاص عند تجديد شهادة موجودة بالفعل في ارتباط قائم على IP. لتجنب حدوث تغيير في عنوان IP الخاص بتطبيقك، ولتجنب توقف تطبيقك بسبب أخطاء HTTPS، اتبع هذه الخطوات بالتسلسل المحدد:

  1. تحميل الشهادة الجديدة.

  2. انتقل إلى صفحة Custom domains لتطبيقك، وحدد زر ... actions، وحدد Update binding.

  3. حدد الشهادة الجديدة وحدد تحديث.

  4. احذف الشهادة الموجودة.

تجديد شهادة مستوردة من Key Vault

إشعار

لتجديد شهادة App Service، راجع تجديد شهادة App Service.

لتجديد شهادة قمت باستيرادها إلى App Service من Key Vault، راجع ⁧⁩تجديد شهادة Azure Key Vault⁧⁩.

بعد تجديد الشهادة داخل مخزن المفاتيح الخاص بك، تقوم App Service تلقائيا بمزامنة الشهادة الجديدة، وتحديث أي ربط شهادة قابل للتطبيق في غضون 24 ساعة. للمزامنة يدويًّا، اتبع الخطوات التالية:

  1. انتقل إلى صفحة الشهادة الخاصة بتطبيقك.

  2. ضمن إحضار الشهادات الخاصة بك (.pfx)، حدد زر ... details لشهادة key vault المستوردة، ثم حدد Sync.

الأسئلة الشائعة

كيف يمكنني أتمتة إضافة ميزة إحضار مالك إلى تطبيق؟

هل يمكنني تكوين شهادة CA خاصة على تطبيقي؟

تحتوي App Service على قائمة بشهادات الجذر الموثوق بها التي لا يمكنك تعديلها في الإصدار المتغير متعدد المستأجرين من App Service، ولكن يمكنك تحميل شهادة المرجع المصدق الخاصة بك في مخزن الجذر الموثوق به في بيئة خدمة التطبيقات (ASE)، وهي بيئة مستأجر واحد في App Service. (خطط خدمة التطبيقات المجانية والأساسية والقياسية والمميزة كلها متعددة المستأجرين، والخطط المعزولة هي مستأجر واحد.)

المزيد من الموارد