Konfigurieren von Sicherheitszertifikaten
Sie wurden gebeten, die Übertragung von Informationen zwischen Ihrer Unternehmens-App und dem Kunden zu sichern. Azure App Service verfügt über Tools, mit denen Sie ein privates Zertifikat oder ein öffentliches Zertifikat in App Service erstellen, hochladen oder importieren können.
Ein in eine App hochgeladenes Zertifikat wird in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe des App Service-Plans und Region der App gebunden ist (intern Webspace genannt). Dadurch wird das Zertifikat für andere Apps in derselben Kombination aus Ressourcengruppe und Region zugänglich.
In der folgenden Tabelle sind die Optionen zum Hinzufügen von Zertifikaten in App Service aufgeführt:
| Option | BESCHREIBUNG |
|---|---|
| Erstellen eines von App Service verwalteten Zertifikats | Ein privates Zertifikat, das kostenlos und einfach zu verwenden ist, wenn Sie nur Ihre benutzerdefinierte Domäne in App Service schützen müssen |
| Erwerben eines App Service-Zertifikats | Ein von Azure verwaltetes privates Zertifikat. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen. |
| Importieren eines Zertifikats aus Key Vault | Nützlich, wenn Sie Azure Key Vault verwenden, um Ihre Zertifikate zu verwalten |
| Hochladen eines privaten Zertifikats | Wenn Sie bereits über ein privates Zertifikat von einem Drittanbieter verfügen, können Sie es hochladen. |
| Hochladen eines öffentlichen Zertifikats | Öffentliche Zertifikate werden nicht zum Schützen benutzerdefinierter Domänen verwendet. Sie können sie jedoch in Ihren Code laden, wenn sie für den Zugriff auf Remoteressourcen benötigt werden. |
Anforderungen an private Zertifikate
Das kostenlose verwaltete App Service-Zertifikat und das App Service-Zertifikat erfüllen bereits die Anforderungen von App Service. Wenn Sie ein privates Zertifikat in App Service verwenden möchten, muss Ihr Zertifikat die folgenden Anforderungen erfüllen:
- Exportiert als kennwortgeschützte PFX-Datei, mit Triple DES verschlüsselt
- Enthält einen privaten Schlüssel mit mindestens 2048 Bit
- Enthält alle Zwischenzertifikate in der Zertifikatkette
Zum Schützen einer benutzerdefinierten Domäne in einer TLS-Bindung gelten für das Zertifikat andere Anforderungen:
- Beinhaltet erweiterte Schlüsselverwendung für die Serverauthentifizierung (OID = 1.3.6.1.5.5.7.3.1).
- Von einer vertrauenswürdigen Zertifizierungsstelle signiert
Erstellen eines kostenlosen verwalteten Zertifikats
Um benutzerdefinierte TLS/SSL-Bindungen zu erstellen oder Clientzertifikate für Ihre App Service-App zu aktivieren, muss sich Ihr App Service-Plan im Tarif Basic, Standard, Premium oder Isolated (Isoliert) befinden.
Das von App Service verwaltete kostenlose Zertifikat ist eine vorgefertigte Lösung zum Schützen Ihres benutzerdefinierten DNS-Namens in App Service. Es handelt sich um ein TLS/SSL-Serverzertifikat, das vollständig von App Service verwaltet wird und kontinuierlich und automatisch alle sechs Monate verlängert wird, und zwar 45 Tage vor Ablauf der Gültigkeit. Sie erstellen das Zertifikat, binden es an eine benutzerdefinierte Domäne und lassen App Service den Rest erledigen.
Für das kostenlose Zertifikat gelten die folgenden Einschränkungen:
- Platzhalterzertifikate werden nicht unterstützt.
- Die Verwendung als Clientzertifikat unter Verwendung des Zertifikatfingerabdrucks wird nicht unterstützt (dessen Einstellung und Entfernung ist geplant).
- Privates DNS wird nicht unterstützt.
- Ist nicht exportierbar.
- Wird nicht in eine App Service-Umgebung (ASE) exportiert.
- Unterstützt nur alphanumerische Zeichen, Bindestriche (-) und Punkte (.).
Importieren eines App Service-Zertifikats
Wenn Sie ein App Service-Zertifikat von Azure erwerben, verwaltet Azure die folgenden Aufgaben:
- Abwickeln des Kaufs vom Zertifikatanbieter
- Ausführen der Domänenüberprüfung des Zertifikats
- Speichern des Zertifikats in Azure Key Vault
- Verwaltet die Zertifikaterneuerung
- Automatisches Synchronisieren des Zertifikats mit den importierten Kopien in App Service-Apps
Sie haben folgende Möglichkeiten, wenn Sie bereits ein funktionierendes App Service-Zertifikat besitzen:
- Importieren des Zertifikats in App Service
- Verwalten des Zertifikats, etwa Verlängern und Exportieren des Zertifikats sowie erneute Schlüsselerstellung für das Zertifikat
Hinweis
App Service-Zertifikate werden zurzeit nicht in nationalen Azure-Clouds unterstützt.