Conexiones seguras mediante el uso y administración de certificados TLS/SSL en Azure App Service

Puede agregar certificados de seguridad digital para usarlos en el código de la aplicación, obien para proteger nombres DNS personalizados en Azure App Service, que proporciona un servicio de hospedaje web con aplicación automática de revisiones muy escalable. Los llamados certificados de seguridad de la capa de transporte (TLS), conocidos anteriormente como certificados de capa de socket seguro (SSL), son certificados privados o públicos que ayudan a proteger las conexiones a Internet mediante el cifrado de los datos enviados entre el explorador del usuario, los sitios web que visite y el servidor del sitio web.

La tabla siguiente enumera las opciones que hay para agregar certificados en App Service:

Opción	Descripción
Crear un certificado administrado de App Service gratuito	Certificado privado que es gratuito y fácil de usar si solo necesita proteger el dominio personalizado en App Service.
Compra de un certificado de App Service	Es un certificado privado administrado por Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación.
Importación de un certificado de Key Vault	Resulta útil si usa Azure Key Vault para administrar los certificados PKCS12. Consulte Requisitos de certificados privados.
Carga de un certificado privado	Si ya tiene un certificado privado de un proveedor de terceros, puede cargarlo. Consulte Requisitos de certificados privados.
Carga de un certificado público	Los certificados públicos no se usan para proteger los dominios personalizados, pero se pueden cargar en el código si se necesitan para acceder a recursos remotos.

Nota

Después de cargar un certificado en una aplicación, este se almacena en una unidad de implementación enlazada al grupo de recursos, la región y la combinación del sistema operativo del plan de App Service, que se denomina internamente un espacio web. De esta manera, el certificado es accesible para otras aplicaciones con la misma combinación de región y grupo de recursos.

Prerrequisitos

• Cree una aplicación de App Service.

• En el caso de los certificados privados, debe asegurarse de que satisface todos los requisitos de App Service.

• Solo certificados gratuitos:

  • Asigne a App Service el dominio en el que desea el certificado. Para más información, consulte Tutorial: Asignación de un nombre DNS personalizado existente a Azure App Service.

  • En el caso de los dominios raíz (como contoso.com), asegúrese de que la aplicación no tenga ninguna restricción de IP configurada. Para que se puedan crear y renovar los certificados de un dominio raíz, es necesario que la aplicación sea accesible desde Internet.

Requisitos de certificados privados

El certificado administrado de App Service gratuito o el certificado de App Service ya cumplen los requisitos de App Service. Si opta por cargar o importar un certificado privado en App Service, este certificado debe cumplir los siguientes requisitos:

• Se exporta como un archivo PFX protegido por contraseña, que está cifrado con Triple DES.
• Contener una clave privada con una longitud de al menos 2048 bits
• Contiene todos los certificados intermedios y el certificado raíz de la cadena de certificados.

Para proteger un dominio personalizado en un enlace TLS, el certificado debe cumplir otros requisitos:

• Contener un uso mejorado de clave para la autenticación de servidor (OID = 1.3.6.1.5.5.7.3.1)
• Estar firmado por una entidad de certificación de confianza

Nota

Los certificados de criptografía de curva elíptica (ECC) pueden funcionar con App Service, pero están fuera del ámbito de este artículo. Si desea conocer los pasos exactos para crear certificados ECC, consulte a su entidad de certificación.

Preparar la aplicación web

Para crear enlaces de TLS o SSL personalizados o habilitar certificados de cliente para la aplicación de App Service, el plan de App Service debe ser de nivel Básico, Estándar, Premium o Aislado. Para asegurarse de que la aplicación web se encuentra en el plan de tarifa compatible, siga estos pasos:

Vaya a la aplicación web.

1. En el cuadro de búsqueda de Azure Portal, busque y seleccione App Services.

   

2. En la página App Services, seleccione el nombre de la aplicación web.

   

   Ahora está en la página de administración de la aplicación web.

Comprobar el plan de tarifa

1. En el menú de la izquierda de la aplicación web, en la sección Configuración, seleccione Escalar verticalmente (plan de App Service).

   

2. Asegúrese de que la aplicación web no está en el plan F1 o D1, que no admite TLS/SSL personalizado.

   El nivel actual de la aplicación web aparece resaltado con un cuadro azul oscuro.

   

3. Si tiene que escalar verticalmente, siga los pasos de la sección siguiente. De lo contrario, cierre la página Escalar verticalmente y omita la sección Escalado vertical del plan de App Service.

Escalar verticalmente el plan de App Service

1. Seleccione cualquiera de los planes no gratuitos, como B1, B2, B3, o cualquier otro de la categoría Producción. Para obtener más opciones, seleccione Ver opciones adicionales.

2. Cuando finalice, seleccione Aplicar.

   

   Cuando aparezca el mensaje siguiente, se habrá completado la operación de escalado.

   

Crear un certificado administrado gratuito

El certificado administrado de App Service gratuito es una solución inmediata para proteger el nombre DNS personalizado en App Service. Sin necesidad de intervención por parte del usuario, este certificado de servidor TLS/SSL lo administra App Service completamente y se renueva de forma automática cada seis meses, 45 días antes de la expiración, siempre y cuando no cambien los requisitos previos que se hayan configurado. Todos los enlaces asociados se actualizarán con el certificado renovado. El usuario creará el certificado, lo enlazará a un dominio personalizado y dejará que App Service haga el resto.

Importante

Antes de crear un certificado administrado gratuito, compruebe que cumple los requisitos previos de la aplicación.

DigiCert emite los certificados gratuitos. En algunos dominios, debe permitir explícitamente DigiCert como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue digicert.com.

Azure administra completamente los certificados en nombre del usuario, por lo que cualquier dato relacionado con el certificado administrado, incluido el emisor raíz, se puede cambiar en cualquier momento. Estos cambios se producen al margen del usuario. Asegúrese de evitar dependencias estrictas y de "anclar" los certificados de práctica al certificado administrado o a cualquier elemento de la jerarquía de certificados. Si necesita el anclaje de certificados, agregue un certificado al dominio personalizado mediante cualquier otro método disponible en este artículo.

El certificado gratuito presenta las siguientes limitaciones:

• No admite certificados comodín.
• No admite el uso como certificado de cliente mediante la huella digital del certificado, cuya retirada está prevista.
• No admite DNS privado.
• No se puede exportar.
• No es compatible con un servicio App Service Environment (ASE).
• Solo admite caracteres alfanuméricos, guiones (-) y puntos (.).

Dominio de Apex

• Debe tener un registro D que apunte a la dirección IP de la aplicación web.
• No es compatible con aplicaciones que no sean accesibles públicamente.
• No es compatible con los dominios raíz que se integran con Traffic Manager.
• Debe cumplir todos los puntos anteriores para la correcta emisión y renovación de certificados.

Subdominio

• Debe tener CNAME asignado directamente a <app-name>.azurewebsites.net. La asignación a un valor CNAME intermedio bloquea la emisión y renovación de certificados.
• Debe cumplir todos los puntos anteriores para la correcta emisión y renovación de certificados.

1. En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

2. En el menú de navegación de la aplicación, seleccione Configuración de TLS/SSL. En el panel que se abre, seleccione Private Key Certificates (.pfx)>Create App Service Managed Certificate.

   

3. Seleccione el dominio personalizado para el certificado gratuito y después Crear. Solo puede crear un certificado para cada dominio personalizado admitido.

   Cuando la operación se haya completado, observará el certificado en la lista de certificados de clave privada.

   

4. Para proteger un dominio personalizado mediante este certificado, aún necesita crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Compra e importación de un certificado de App Service

Si adquiere un certificado de App Service de Azure, Azure se ocupará de llevar a cabo las siguientes tareas:

• Manejar el proceso de compra de GoDaddy.
• Realiza la comprobación de dominio del certificado.
• Mantiene el certificado en Azure Key Vault.
• Administrar la renovación de certificados.
• Sincronizar el certificado automáticamente con las copias importadas en aplicaciones de App Service.

Para adquirir un certificado de App Service, vaya a Inicio del pedido de certificado.

Nota

Actualmente, los certificados de App Service no son compatibles con las nubes nacionales de Azure.

Si ya tiene un certificado de App Service en funcionamiento, puede llevar a cabo las siguientes tareas:

• Importar el certificado en App Service.
• Administrar el certificado de App Service. Por ejemplo, renovarlo, volver a especificar la clave y exportarlo.

Inicio del pedido de certificado

1. Vaya a la página de creación de App Service Certificate e inicie la compra de un certificado de App Service.

   Nota

   En este artículo, los precios que se muestran tienen únicamente fines de ejemplo.

   Los certificados de App Service adquiridos de Azure los emite GoDaddy. En algunos dominios, debe permitir explícitamente GoDaddy como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue godaddy.com.

   

2. Para ayudarle a configurar el certificado, use la tabla siguiente. Seleccione Crear cuando haya terminado.

   Configuración	Descripción
   Suscripción	La suscripción de Azure que se va a asociar al certificado.
   Grupos de recursos	El grupo de recursos que contendrá el certificado. Puede crear un nuevo grupo de recursos o seleccionar el mismo grupo de recursos que la aplicación de App Service.
   SKU	Determine el tipo de certificado para crear, ya sea de tipo estándar o comodín.
   Nombre de host de dominio desnudo	Especifique el dominio raíz. El certificado emitido protege al mismo tiempo el dominio raíz y el subdominio www. En el certificado emitido, el campo Nombre común especifica el dominio raíz, mientras que el campo Nombre alternativo del firmante especifica el dominio www. Para proteger únicamente un subdominio, especifique el nombre de dominio completo del subdominio. Por ejemplo, mysubdomain.contoso.com.
   Nombre de certificado	El nombre descriptivo para el certificado de App Service.
   Habilitar renovación automática	Especifique si desea renovar automáticamente el certificado antes de la expiración. Cada renovación amplía la expiración del certificado en un año y el costo se cobra a la suscripción.

Almacenamiento del certificado en Azure Key Vault

Key Vault es un servicio de Azure que ayuda a proteger claves criptográficas y secretos que emplean servicios y aplicaciones en la nube. Para los certificados de App Service, el sistema de almacenamiento elegido es Key Vault. Después de finalizar el proceso de compra de certificados, debe completar algunos pasos más antes de empezar a usar este certificado.

1. En la página de certificados de App Service, seleccione el certificado. En el menú certificado, seleccione Configuración del certificado>Paso 1: Almacenar.

   

2. En la página Estado de Key Vault, haga clic en Repositorio de Key Vault para crear un nuevo almacén o elegir uno existente.

3. Si crea un nuevo almacén, configúrelo en función de la tabla siguiente y asegúrese de usar la misma suscripción y grupo de recursos que la aplicación de App Service. Seleccione Crear cuando haya terminado.

   Configuración	Descripción
   Nombre	Un nombre único que solo contiene caracteres alfanuméricos y guiones.
   Grupos de recursos	Recomendación: Usar el mismo grupo de recursos que el certificado de App Service.
   Ubicación	La misma que tiene la aplicación de App Service.
   Plan de tarifa	Para obtener información, consulte Detalles de precios de Azure Key Vault.
   Directivas de acceso	Define las aplicaciones y el acceso permitido a los recursos del almacén. Puede configurar estas directivas más adelante con ayuda de los pasos descritos en Asignación de una directiva de acceso de Key Vault. Actualmente, el servicio App Service Certificate solo admite las directivas de acceso de Key Vault, pero no el modelo de RBAC.
   Acceso de redes virtuales	Restringe el acceso de almacén a determinadas redes virtuales de Azure. Puede configurarlo esta restricción más adelante mediante los pasos descritos en Configurar firewalls y redes virtuales de Azure Key Vault

4. Después de seleccionar el almacén, cierre la página del repositorio de Key Vault. La opción Paso 1: Almacenar debería mostrar una marca de verificación verde si se ha completado correctamente. Mantenga la página abierta para el siguiente paso.

Confirmación de la propiedad del dominio

1. En la misma página de configuración del certificado que se usó en el paso 2, haga clic en Paso 2: Comprobar.

   

2. Seleccione Comprobación de App Service. Sin embargo, dado que anteriormente asignó el dominio a la aplicación web de acuerdo con los requisitos previos, el dominio ya se ha comprobado. Para finalizar este paso, seleccione Comprobar y después Actualizar hasta que se muestre el mensaje El certificado tiene el dominio comprobado.

Se admiten los siguientes métodos de comprobación de dominio:

Método	Descripción
App Service	La opción más conveniente cuando el dominio ya se ha asignado a una aplicación de App Service en la misma suscripción porque la aplicación de App Service ya ha comprobado la propiedad del dominio. Revise el último paso descrito en Confirmación de la propiedad del dominio.
Dominio	Compruebe un dominio de App Service que haya adquirido a través de Azure. Azure agrega automáticamente el registro TXT de comprobación en su lugar y completa el proceso.
Correo	Confirme el dominio mediante el envío de un correo electrónico al administrador de dominio. Cuando selecciona la opción, se proporcionan instrucciones.
Manual	Compruebe el dominio mediante un registro TXT de DNS o una página HTML, que solo se aplicará a certificados estándar de acuerdo con la nota siguiente. Los pasos se proporcionan después de seleccionar la opción. La opción de página HTML no funciona para las aplicaciones web con la opción "Solo Https" habilitada.

Importante

En el caso de un certificado Estándar, el proveedor de certificados le proporcionará un certificado para el dominio de nivel superior solicitado y el subdominio de www. Por ejemplo, contoso.com y www.contoso.com. Sin embargo, a partir del 1 de diciembre de 2021, se introdujo una restricción en App Service y los métodos de verificación manual. Para confirmar la propiedad del dominio, ambos usan la verificación de página HTML. Este método no permite al proveedor de certificados incluir el subdominio www al emitir certificados, regenerar las claves o renovar un certificado.

No obstante, los métodos de comprobación de Dominio y Correo siguen incluyendo el subdominio de www con el dominio de nivel superior solicitado en el certificado.

Importación del certificado en App Service

1. En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

2. En el panel de navegación de la aplicación, seleccione Configuración de TLS/SSL>Private Key Certificates (.pfx)>Importar certificado de App Service.

   

3. Seleccione el certificado que acaba de comprar y después Aceptar.

   Cuando la operación se haya completado, observará el certificado en la lista de certificados de clave privada.

   

4. Para proteger un dominio personalizado mediante este certificado, aún necesita crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Importación de un certificado de Key Vault

Si usa Azure Key Vault para administrar los certificados, puede importar un certificado PKCS12 de Key Vault en App Service, siempre que cumpla los requisitos.

Autorización a App Service para leer desde el almacén

De forma predeterminada, el proveedor de recursos de App Service no tiene acceso al almacén de claves del usuario. Para usar un almacén de claves para una implementación de certificados, debe autorizar el acceso de lectura al almacén de claves para el proveedor de recursos.

Nota

Actualmente, un certificado de Key Vault solo admite la directiva de acceso de Key Vault, pero no el modelo de RBAC.

Proveedor de recursos	AppID de la entidad de servicio	Permisos de secretos del almacén de claves	Permisos de certificado del almacén de claves
Microsoft Azure App Service o Microsoft.Azure.WebSites	- abfa0a7c-a6b6-4736-8310-5855508787cd, que es el mismo para todas las suscripciones de Azure. - Para el entorno en la nube de Azure Government, use 6a02c803-dafd-4136-b4c3-5a6f318b4714.	Obtener	Obtener
Microsoft.Azure.CertificateRegistration		Obtener List Set Eliminar	Obtener List

Importación de un certificado desde el almacén a la aplicación

1. En Azure Portal, en el menú de la izquierda, seleccione App Services><app-name>.

2. En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Private Key Certificates (.pfx)>Import Key Vault Certificate.

   

3. Para ayudarle a seleccionar el certificado, use la tabla siguiente:

   Configuración	Descripción
   Suscripción	La suscripción asociada al almacén de claves.
   Key Vault	El almacén de claves que contiene el certificado que desea importar.
   Certificate	En esta lista, seleccione un certificado PKCS12 que se encuentra en el almacén. Se enumeran todos los certificados PKCS12 del almacén con sus huellas digitales, pero no todos se admiten en App Service.

   Cuando la operación se haya completado, observará el certificado en la lista de certificados de clave privada. Si se produce un error en la importación, indica que el certificado no cumple los requisitos para App Service.

   

   Nota

   Si actualiza el certificado en Key Vault con un nuevo certificado, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

4. Para proteger un dominio personalizado mediante este certificado, aún necesita crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Carga de un certificado privado

Después de obtener un certificado del proveedor, prepare el certificado para App Service siguiendo los pasos descritos en esta sección.

Combinación de certificados intermedios

Si la entidad emisora de certificados ofrece varios certificados en la cadena de certificados, debe combinar los certificados siguiendo el mismo orden.

1. En un editor de texto, abra cada certificado recibido.

2. Para almacenar el certificado combinado, cree un archivo denominado mergedcertificate.crt.

3. Copie el contenido de cada certificado en este archivo. Asegúrese de seguir la secuencia especificada por la cadena de certificados, empezando por su certificado y finalizando con el certificado raíz. Por ejemplo:

   -----BEGIN CERTIFICATE-----
   <your entire Base64 encoded SSL certificate>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 1>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 2>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded root certificate>
   -----END CERTIFICATE-----
   

Exportación de un certificado privado combinado a PFX

Ahora, exporte el certificado TLS/SSL combinado con la clave privada que se usó para generar la solicitud de certificado. Si la solicitud de certificado se genera mediante OpenSSL, se creará un archivo de clave privada.

Nota

OpenSSL v3 crea seriales de certificados con 20 octetos (40 caracteres), tal como permite la especificación X.509. Actualmente, solo se admiten 10 octetos (20 caracteres) al cargar archivos PFX de certificado. OpenSSL v3 también ha cambiado el cifrado predeterminado de 3DES a AES256, pero esto se puede invalidar en la línea de comandos. OpenSSL v1 usa 3DES como valor predeterminado y solo usa 8 octetos (16 caracteres) en la serie, por lo que los archivos PFX generados se admiten sin necesidad de realizar modificaciones especiales.

1. Para exportar el certificado a un archivo PFX, ejecute el siguiente comando, pero reemplace los marcadores de posición <private-key-file> y <merged-certificate-file> por las rutas de acceso a su clave privada y al archivo de certificado combinado.

   openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
   

2. Cuando se le solicite, especifique una contraseña para la operación de exportación. Al cargar el certificado TLS/SSL en App Service más adelante, tendrá que proporcionar esta contraseña.

3. Si usó IIS o Certreq.exe para generar la solicitud de certificado, instale el certificado en la máquina local y luego expórtelo a un archivo PFX.

Carga del certificado en App Service

Ya está listo para cargar el certificado en App Service.

1. En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

2. En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Private Key Certificates (.pfx)>Cargar certificado.

   

3. En Archivo de certificado PFX, seleccione el archivo PFX. En Contraseña del certificado, escriba la contraseña que creó al exportar el archivo PFX. Cuando finalice, seleccione Cargar.

   Cuando la operación se haya completado, observará el certificado en la lista de certificados de clave privada.

   

4. Para proteger un dominio personalizado mediante este certificado, aún necesita crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Carga de un certificado público

Se admiten certificados públicos en el formato .cer.

1. En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

2. En el menú de navegación de la aplicación, seleccione Configuración de TLS/SSL>Public Certificates (.cer)>Upload Public Key Certificate.

3. En Nombre, escriba el nombre del certificado. En Archivo de certificado CER, seleccione el archivo CER. Cuando finalice, seleccione Cargar.

   

4. Después de cargar el certificado, copie la huella digital del certificado y consulte Que el certificado sea accesible.

Renovación de un certificado que va a expirar

Antes de que expire un certificado, asegúrese de agregar el certificado renovado a App Service y actualice cualquier enlace TLS/SSL en el que el proceso dependa del tipo de certificado. Por ejemplo, un certificado importado de Key Vault, incluido un certificado de App Service, se sincroniza automáticamente con App Service cada 24 horas y actualiza el enlace TLS/SSL cuando se renueva el certificado. Para un certificado cargado, no hay ninguna actualización de enlace automática. En función del escenario, revise la sección correspondiente:

• Renovación de un certificado cargado
• Renovación de un certificado de App Service
• Renovación de un certificado importado desde Key Vault

Renovación de un certificado cargado

Al reemplazar un certificado que va a expirar, la forma de actualizar el enlace del certificado con el nuevo certificado podría afectar negativamente a la experiencia del usuario. Por ejemplo, su dirección IP de entrada podría cambiar cuando elimine un enlace, incluso si este está basado en IP. Esto es especialmente importante al renovar un certificado que ya está incluido en un enlace basado en IP. Para evitar modificaciones en la dirección IP de la aplicación y el tiempo de inactividad de la aplicación debido a errores HTTPS, siga estos pasos en el orden especificado:

1. Cargue el nuevo certificado.

2. Enlace el nuevo certificado al mismo dominio personalizado sin eliminar el certificado existente que va a expirar. Para esta tarea, vaya al panel de configuración de TLS/SSL de la aplicación App Service y seleccione Agregar enlace.

   Esta acción reemplaza el enlace, en lugar de quitar el enlace de certificado existente.

3. Elimine el certificado existente.

Renovación del certificado de App Service

De forma predeterminada, los certificados de App Service tienen un período de validez de un año. Antes de la fecha de expiración o cuando se aproxime, puede renovar de forma automática o manual los certificados de App Service con una frecuencia anual. El proceso de renovación proporciona un nuevo certificado de App Service con la fecha de expiración ampliada a un año desde la fecha de expiración del certificado existente.

Nota

A partir del 23 de septiembre de 2021 si no ha comprobado el dominio en los últimos 395 días, los certificados de App Service requieren comprobar el dominio durante un proceso de renovación del certificado o de regeneración de claves. El nuevo pedido de certificado permanece como "pendiente de emisión" al renovarlo o regenerar la clave hasta que se complete la comprobación del dominio.

A diferencia de un certificado administrado de App Service, la comprobación de dominio para los certificados de App Service no se lleva a cabo de forma automatizada. Si no se comprueba la propiedad del dominio, se producirá un error en las renovaciones. Para obtener más información sobre cómo comprobar el certificado de App Service, consulte Confirmación de la propiedad del dominio.

El proceso de renovación requiere que la entidad de servicio conocida para App Service tenga los permisos necesarios en el almacén de claves. Estos permisos se configuran para usted al importar un certificado de App Service a través del Azure Portal. Asegúrese de no quitar estos permisos del almacén de claves.

1. Para cambiar la configuración de renovación automática del certificado de App Service en cualquier momento, seleccione el certificado en la página de certificados de App Service.

2. En el menú de la izquierda, seleccione Configuración de renovación automática.

3. Seleccione Activar o Desactivar y haga clic en Guardar.

   Si activa la renovación automática, los certificados podrán empezar a renovarse automáticamente 32 días antes de la expiración.

   

4. Para renovar manualmente el certificado, haga clic en Renovación manual. Puede solicitar renovar manualmente el certificado de 60 días antes de que expire.

5. Una vez completada la operación de renovación, seleccione Sincronizar.

   La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

   Nota

   Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Renovación de un certificado importado desde Key Vault

Para renovar un certificado que importó en App Service desde Key Vault, consulte Renovación de los certificados de Azure Key Vault.

Después de renovar el certificado del almacén de claves, App Service sincronizará automáticamente el nuevo certificado y actualiza cualquier enlace TLS/SSL aplicable en un plazo de 24 horas. Para llevar a cabo la sincronización manual, siga estos pasos:

1. Vaya a la página de configuración de TLS/SSL de la aplicación.

2. En Private Key Certificates, seleccione el certificado importado y, a continuación, Sincronizar.

Administración de certificados de App Service

En esta sección se incluyen vínculos a tareas que le ayudan a administrar el certificado de App Service que compró:

• Nueva especificación de la clave de un certificado de App Service
• Exportación de un certificado de App Service
• Eliminación de un certificado de App Service
• Renovación de un certificado de App Service

Regeneración de claves para un certificado de App Service

Si piensa que la clave privada del certificado está en peligro, puede volver a especificar la clave del certificado. Esta acción renovará el certificado con un nuevo certificado emitido desde la entidad de certificación.

1. En la página de certificados de App Service, seleccione el certificado. En el menú de la izquierda, seleccione Regenerar claves y sincronizar.

2. Para iniciar el proceso, seleccione Regenerar claves. Este proceso puede tardar de 1 a 10 minutos en completarse.

   

3. También es posible que tenga que volver a confirmar la propiedad del dominio.

4. Después de completar la operación de regeneración de claves, seleccione Sincronizar.

   La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

   Nota

   Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Exportación del certificado App Service

Dado que un certificado de App Service es un secreto de Key Vault, puede exportar una copia PFX y usarla con otros servicios de Azure o fuera de Azure.

Importante

El certificado exportado es un artefacto no administrado. App Service no sincroniza estos artefactos al renovar el certificado de App Service. El usuario deberá exportar el certificado renovado e instalarlo donde lo necesite.

Azure Portal

1. En la página de certificados de App Service, seleccione el certificado.

2. En el menú de la izquierda, seleccione Exportar certificado.

3. Seleccione Abrir en Key Vault.

4. Seleccione la versión actual del certificado.

5. Seleccione Descargar como certificado.

CLI de Azure

Para exportar el certificado de App Service como un archivo PFX, ejecute los siguientes comandos en Azure Cloud Shell. O bien, ejecute Cloud Shell localmente si instaló la CLI de Azure. Reemplace los marcadores de posición por los nombres que usó cuando compró el certificado de App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

El archivo PFX descargado es un archivo PKCS12 sin formato que contiene los certificados públicos y privados, y una contraseña de importación que es una cadena vacía. Podrá efectuar una instalación local si deja vacío el campo de contraseña. No podrá cargar el archivo directamente en App Service porque no está protegido mediante contraseña.

Eliminación de un certificado de App Service

Si elimina un certificado de App Service, la operación de eliminación es irreversible y definitiva. El resultado es un certificado revocado, y cualquier enlace de App Service que use este certificado dejará de ser válido.

Para evitar la eliminación accidental, Azure bloque el certificado de App Service. Por lo tanto, para eliminar el certificado, primero debe quitar el bloqueo de eliminación en el certificado.

1. En la página de certificados de App Service, seleccione el certificado.

2. En el menú de la izquierda, seleccione Bloqueos.

3. En el certificado, busque el bloqueo con el tipo de bloqueo denominado Eliminar. En el lado derecho, seleccione Eliminar.

   

4. Ahora puede eliminar el certificado de App Service. En el menú de la izquierda, seleccione Información general>Eliminar.

5. Cuando se abra el cuadro de confirmación, escriba el nombre del certificado y seleccione Aceptar.

Automatizar con scripts

Azure CLI

Enlace de un certificado TLS/SSL personalizado a una aplicación web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Más recursos

• Protección de un nombre DNS personalizado con un enlace TLS/SSL en Azure App Service
• Aplicación de HTTPS
• Aplicación de TLS 1.1 y 1.2
• Uso de un certificado TLS/SSL en el código de Azure App Service
• Preguntas más frecuentes: Certificados de App Service