Créez et gérez un certificat App Service pour votre application web

Cet article explique comment créer un certificat App Service et le gérer (par exemple, le renouvellement, la synchronisation et la suppression). Une fois que vous disposez d’un certificat App Service, vous pouvez l’importer dans une application App Service. Un certificat App Service est un certificat privé géré par Azure. Il combine la simplicité d’une gestion automatisée et la flexibilité des options de renouvellement et d’exportation.

Si vous achetez un certificat App Service dans Azure, Azure se charge des tâches suivantes :

• Prend en charge le processus d’achat sur GoDaddy.
• Vérification du domaine du certificat
• Gestion du certificat dans Azure Key Vault
• Gère le renouvellement de certificat.
• Synchronise automatiquement des certificats avec les copies importées dans les applications App Service.

Notes

Une fois que vous avez chargé un certificat dans une application, le certificat est stocké dans une unité de déploiement liée à la combinaison du groupe de ressources, de la région et du système d’exploitation du plan App Service, appelée en interne un espace web. De cette façon, le certificat est accessible aux autres applications qui sont associées à la même combinaison Groupe de ressources/Région. Les certificats chargés ou importés dans App Service sont partagés avec App Services dans la même unité de déploiement.

Prérequis

• Créez une application App Service. Le plan App Service de l’application doit être au niveau De base, Standard, Premium ou Isolé. Consultez Effectuer le scale-up d’une application pour mettre à jour le niveau.

Notes

Actuellement, les certificats App Service ne sont pas pris en charge dans les clouds nationaux Azure.

Acheter et configurer un certificat App Service

Commencer l’achat d’un certificat

1. Accédez à la page de création de certificat App Service, puis démarrez votre achat de certificat App Service.

   Notes

   Les certificats App Service achetés auprès d’Azure sont émis par GoDaddy. Pour certains domaines, vous devez autoriser explicitement GoDaddy comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur : 0 issue godaddy.com

   

2. Pour vous aider à configurer le certificat, utilisez le tableau suivant. Lorsque vous avez terminé, sélectionnez Vérifier + Créer, puis sélectionnez Créer.

   Paramètre	Description
   Abonnement	Abonnement Azure à associer au certificat.
   Groupe de ressources	Groupe de ressources qui doit contenir le certificat. Vous pouvez utiliser un nouveau groupe de ressources, ou sélectionner le même groupe de ressources que votre application App Service.
   Référence (SKU)	Détermine le type de certificat à créer (certificat standard ou certificat générique).
   Nom d’hôte de domaine nu	Spécifiez le domaine racine. Le certificat émis sécurise à la fois le domaine racine et le sous-domaine www. Dans le certificat émis, le champ Nom commun spécifie le domaine racine, et le champ Autre nom de l’objet spécifie le domaine www. Pour sécuriser un sous-domaine uniquement, indiquez son nom de domaine complet, par exemple mysubdomain.contoso.com.
   Nom du certificat	Le nom convivial de votre certificat App Service.
   Activer le renouvellement automatique	Sélectionnez s’il faut renouveler automatiquement le certificat avant l’expiration. Chaque renouvellement prolonge le délai d’expiration du certificat d’un an et le coût est facturé sur votre abonnement.

3. Une fois le déploiement effectué, sélectionnez Accéder à la ressource.

Stocker un certificat dans Azure Key Vault

Key Vault est un service Azure qui permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. Pour les certificats App Service, le stockage recommandé est Key Vault. Une fois le processus d’achat de certificat terminé, vous devez effectuer quelques étapes supplémentaires avant de commencer à utiliser ce certificat.

1. Dans la page Certificats App Service, sélectionnez le certificat. Dans le menu du certificat, sélectionnezConfiguration du certificat>Étape 1 : Stocker.

   

2. Dans la page État Key Vault, sélectionnez Sélectionner parmi Key Vault.

3. Si vous créez un coffre, configurez le coffre en fonction du tableau suivant et veillez à utiliser le même abonnement et le même groupe de ressources que votre application App Service.

   Paramètre	Description
   Groupe de ressources	Recommandation : choisissez le même groupe de ressources que votre certificat App Service.
   Nom du coffre de clés	Nom unique composé uniquement de caractères alphanumériques et de tirets.
   Région	Le même emplacement que votre application App Service.
   Niveau tarifaire	Pour obtenir des informations sur les tarifs, consultez Tarification d’Azure Key Vault.
   Jours de conservation des coffres supprimés	Le nombre de jours suivant la suppression, pendant lesquels les objets restent récupérables (voir Vue d’ensemble de la suppression réversible d’Azure Key Vault). Définissez une valeur comprise entre 7 et 90.
   Protection contre le vidage	Empêche la suppression manuelle et définitive des objets supprimés de manière réversible. L’activation de cette option force tous les objets supprimés à rester à l’état de suppression réversible pendant toute la durée de la période de rétention.

4. Sélectionnez Suivant, puis sélectionnez Stratégie d’accès au coffre. Actuellement, les certificats App Service ne prennent en charge que les stratégies d’accès Key Vault, et non le modèle RBAC.

5. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

6. Une fois le coffre de clés créé, ne sélectionnez pas Accéder à la ressource, mais attendez que la page Sélectionner le coffre de clés à partir d’Azure Key Vault recharge.

7. Sélectionnez Sélectionner.

8. Une fois que vous avez sélectionné le coffre, fermez la page Référentiel Key Vault. L’option Étape 1 : Stocker doit afficher une coche verte indiquant une réussite. Gardez cette page ouverte pour l’étape suivante.

Confirmer la propriété du domaine

1. À partir de la même page Configuration du certificat de la section précédente, sélectionnez Étape 2 : Vérifier.

   

2. Sélectionnez Vérification App Service. Toutefois, étant donné que vous avez précédemment mappé le domaine à votre application web conformément aux Conditions préalables, le domaine est déjà vérifié. Pour terminer cette étape, sélectionnez Vérifier, puis Actualiser jusqu’à ce que le message Domaine du certificat vérifié s’affiche.

Les méthodes de vérification du domaine suivantes sont prises en charge :

Méthode	Description
Vérification d’App Service	L’option la plus pratique lorsque le domaine est déjà mappé à une application App Service dans le même abonnement, car l’application App Service a déjà vérifié la propriété du domaine. Passez en revue la dernière étape dans Confirmer la propriété du domaine.
Vérification du domaine	Confirmez un domaine App Service que vous avez acheté sur Azure. Azure ajoute automatiquement l’enregistrement TXT de vérification pour vous et effectue le processus.
Vérification par e-mail	Confirmez le domaine en envoyant un e-mail à l’administrateur de domaine. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent.
Vérification manuelle	Confirmez le domaine à l’aide d’un enregistrement TXT DNS ou d’une page HTML ; cela s’applique uniquement aux certificats Standard conformément à la note suivante. Les étapes sont indiquées après avoir sélectionné l’option. L’option de page HTML ne fonctionne pas avec les applications web pour lesquelles « HTTPS uniquement » est activé. Pour la vérification du domaine via l’enregistrement TXT DNS soit pour le domaine racine (par exemple. « contoso.com »), soit pour le sous-domaine (c’est-à-dire. « www.contoso.com », « test.api.contoso.com ») et quelle que soit la référence SKU du certificat, vous devez ajouter un enregistrement TXT au niveau du domaine racine en utilisant « @ » pour le nom et le jeton de vérification du domaine pour la valeur de votre enregistrement DNS.

Important

Avec le certificat Standard, vous obtenez un certificat pour le domaine de niveau supérieur demandé et son sous- domaine www, par exemple, contoso.com et www.contoso.com. Toutefois, la vérification App Service et la vérification manuelle utilisent tous deux la vérification de page HTML, qui ne prend pas en charge le sous-domaine www lors de l’émission, de la nouvelle clé ou du renouvellement d’un certificat. Pour le certificat Standard, utilisez la vérification de domaine et la vérification par e-mail pour inclure le sous-domaine www avec le domaine de niveau supérieur demandé dans le certificat.

Une fois votre certificat vérifié par le domaine, vous êtes prêt à l’importer dans une application App Service.

Renouveler un certificat App Service

Par défaut, les certificats App Service sont valides pendant un an. Avant et à proximité de la date d’expiration, vous pouvez renouveler automatiquement ou manuellement les certificats App Service par incréments d’un an. Le processus de renouvellement vous fournit de fait un nouveau certificat App Service dont la date d’expiration est prolongée d’un an à partir de la date d’expiration du certificat existant.

Notes

À compter du 23 septembre 2021, si vous n’avez pas vérifié le domaine au cours des 395 derniers jours, les certificats App Service nécessitent une vérification de domaine pendant un processus de renouvellement ou de recréation. La commande d’un nouveau certificat reste à l’état « émission en attente » durant le processus de renouvellement ou de regénération jusqu’à ce que la vérification du domaine soit terminée.

Contrairement au certificat managé App Service gratuit, la revérification de domaine pour un certificat App Service n’est pas automatisée. L’échec de la vérification de la propriété du domaine entraîne l’échec des renouvellements. Pour plus d’informations sur la vérification de votre certificat App Service, consultez Confirmer la propriété du domaine.

Le processus de renouvellement exige que le principal de service connu pour App Service dispose des autorisations requises sur votre coffre de clés. Ces autorisations sont configurées pour vous lorsque vous importez un certificat App Service via le portail Azure. Assurez-vous que vous ne supprimez pas ces autorisations de votre coffre de clés.

1. Pour modifier le paramètre de renouvellement automatique de votre certificat App Service à tout moment, dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Paramètres de renouvellement automatique.

3. Sélectionnez Activer ou Désactiver, puis Enregistrer.

   Si vous activez le renouvellement automatique, les certificats peuvent commencer à se renouveler automatiquement 32 jours avant l’expiration.

   

4. Pour renouveler manuellement le certificat, sélectionnez Renouvellement manuel. Vous pouvez demander le renouvellement manuel de votre certificat 60 jours avant l'expiration, mais la date d'expiration maximale sera de 397 jours.

5. Une fois l’opération de renouvellement terminée, sélectionnez Synchroniser.

   L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

   Notes

   Si vous ne sélectionnez pas Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Retaper un certificat App Service

Si vous pensez que la clé privée de votre certificat est compromise, vous pouvez recréer la clé de votre certificat. Cette action remplace le certificat par un nouveau certificat émis par l’autorité de certification.

1. Dans la page Certificats App Service, sélectionnez le certificat. Dans le menu de gauche, sélectionnez Recréer et synchroniser.

2. Pour démarrer le processus, sélectionnez Recréer. Ce processus peut prendre de 1 à 10 minutes.

   

3. Vous devrez peut-être également confirmer la propriété du domaine.

4. Une fois l’opération de recréation terminée, sélectionnez Synchroniser.

   L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

   Notes

   Si vous ne sélectionnez pas Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Exporter un certificat App Service

Étant donné qu’un certificat App Service est un secret Key Vault, vous pouvez exporter une copie de ce fichier PFX et l’utiliser pour d’autres services Azure ou en dehors d’Azure.

Important

Le certificat exporté est un artefact non géré. App Service ne synchronise pas ces artefacts lorsque le certificat App Service est renouvelé. Vous devez exporter et installer le certificat renouvelé si nécessaire.

Azure portal

1. Dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Exporter le certificat.

3. Sélectionner Ouvrir le secret Key Vault.

4. Sélectionnez la version actuelle du certificat.

5. Sélectionnez Télécharger sous la forme d’un certificat.

Azure CLI

Exécutez les commandes suivantes dans Azure Cloud Shell, ou exécutez-les localement si vous avez installé Azure CLI. Remplacez les espaces réservés par les noms que vous avez utilisés lorsque vous avez acheté le certificat App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Le fichier PFX téléchargé est un fichier PKCS12 brut qui contient les certificats public et privé, et son mot de passe d’importation est une chaîne vide. Vous pouvez installer localement le fichier en laissant le champ du mot de passe vide. Vous ne pouvez pas charger le fichier tel qu’il est dans App Service, car le fichier n’est pas protégé par mot de passe.

Supprimer un certificat App Service

Si vous supprimez un certificat App Service, l’opération de suppression est irréversible et finale. Le résultat est un certificat révoqué, et toute liaison dans App Service qui utilise ce certificat devient non valide.

1. Dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Vue d’ensemble>Supprimer.

3. Lorsque la zone de confirmation s’ouvre, entrez le nom du certificat, puis sélectionnez OK.

Forum aux questions

Mon certificat App Service n’a aucune valeur dans Key Vault

Votre certificat App Service n’est probablement pas encore vérifié par le domaine. Tant que la propriété du domaine n’est pas confirmée, votre certificat App Service n’est pas prêt à être utilisé. En tant que secret de coffre de clés, il conserve une balise Initialize, et sa valeur et son type de contenu restent vides. Lorsque la propriété du domaine est confirmée, le secret du coffre de clés affiche une valeur et un type de contenu, et la balise devient Ready.

Je ne parviens pas à exporter mon certificat App Service avec PowerShell

Votre certificat App Service n’est probablement pas encore vérifié par le domaine. Tant que la propriété du domaine n’est pas confirmée, votre certificat App Service n’est pas prêt à être utilisé.

Quelles modifications le processus de création de certificat App Service apporte-t-il à mon Key Vault existant ?

Le processus de création apporte les modifications suivantes :

• Ajoute deux stratégies d'accès dans le coffre-fort :
  • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
  • Fournisseur de ressources CSM du revendeur de certificats Microsoft (ou Microsoft.Azure.CertificateRegistration)
• Crée un verrou de suppression sur le coffre appelé : AppServiceCertificateLock pour empêcher la suppression accidentelle du coffre de clés.

Plus de ressources

• Sécuriser un nom DNS personnalisé avec une liaison TLS/SSL dans Azure App Service
• Appliquer le protocole HTTPS
• Appliquer le protocole TLS 1.1/1.2
• Utiliser un certificat TLS/SSL dans votre code dans Azure App Service
• FORUM AUX QUESTIONS : App Service Certificates