Créez et gérez un certificat App Service pour votre application web

Cet article explique comment créer un App Service Certificate et effectuer des tâches de gestion telles que le renouvellement, la synchronisation et la suppression de certificats. Une fois que vous disposez d’un certificat App Service, vous pouvez l’importer dans une application App Service. Un certificat App Service est un certificat privé géré par Azure. Il combine la simplicité d’une gestion automatisée et la flexibilité des options de renouvellement et d’exportation.

Si vous achetez un certificat App Service dans Azure, Azure se charge des tâches suivantes :

• Prend en charge le processus d’achat sur GoDaddy.
• Vérification du domaine du certificat
• Gestion du certificat dans Azure Key Vault
• Gère le renouvellement de certificat.
• Synchronise automatiquement des certificats avec les copies importées dans les applications App Service.

Notes

Une fois que vous avez chargé un certificat dans une application, le certificat est stocké dans une unité de déploiement liée à la combinaison du groupe de ressources, de la région et du système d’exploitation du plan App Service, appelée en interne un espace web. De cette façon, le certificat est accessible aux autres applications qui sont associées à la même combinaison Groupe de ressources/Région. Les certificats chargés ou importés dans App Service sont partagés avec App Services dans la même unité de déploiement.

Prérequis

• Créez une application App Service. Le plan App Service de l’application doit être au niveau De base, Standard, Premium ou Isolé. Consultez Effectuer le scale-up d’une application pour mettre à jour le niveau.

Notes

Actuellement, les certificats App Service ne sont pas pris en charge dans les clouds nationaux Azure.

Acheter et configurer un certificat App Service

Acheter le certificat

1. Accédez à la page Créer un App Service Certificate pour commencer l’achat.

   Remarque

   Les certificats App Service achetés auprès d’Azure sont émis par GoDaddy. Pour certains domaines, vous devez autoriser explicitement GoDaddy comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur 0 issue godaddy.com.

   

2. Pour configurer le certificat, utilisez le tableau suivant. Lorsque vous avez terminé, sélectionnez Vérifier + Créer, puis sélectionnez Créer.

   Setting	Description
   Abonnement	Abonnement Azure à associer au certificat.
   Groupe de ressources	Groupe de ressources qui doit contenir le certificat. Vous pouvez utiliser un nouveau groupe de ressources, ou sélectionner le même groupe de ressources que votre application App Service.
   Référence (SKU)	Détermine le type de certificat à créer (certificat standard ou certificat générique).
   Nom d'hôte de domaine nu	Spécifiez le domaine racine. Le certificat émis assure la sécurité à la fois du domaine racine et du sous-domaine www. Dans le certificat émis, le champ Nom commun spécifie le domaine racine, et le champ Autre nom de l’objet spécifie le domaine www. Pour assurer la sécurité d’un sous-domaine uniquement, spécifiez le nom de domaine complet du sous-domaine, par exemple mysubdomain.contoso.com.
   Nom du certificat	Le nom convivial de votre certificat App Service.
   Activer le renouvellement automatique	Sélectionnez s’il faut renouveler automatiquement le certificat avant l’expiration. Chaque renouvellement étend l’expiration du certificat d’un an. Le coût est facturé à votre abonnement.

3. Une fois le déploiement effectué, sélectionnez Accéder à la ressource.

Stocker le certificat dans Azure Key Vault

Key Vault est un service Azure qui permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. Pour les certificats App Service, nous vous recommandons d’utiliser Key Vault. Une fois le processus d’achat de certificat terminé, vous devez effectuer quelques étapes supplémentaires avant de commencer à utiliser le certificat.

1. Dans la page Certificats App Service, sélectionnez le certificat. Dans le menu du certificat, sélectionnezConfiguration du certificat>Étape 1 : Stocker.

   

2. Dans la page État Key Vault, sélectionnez Sélectionner parmi Key Vault.

3. Si vous créez un coffre, configurez le coffre en fonction du tableau suivant et veillez à utiliser le même abonnement et le même groupe de ressources que votre application App Service.

   Paramètre	Description
   Groupe de ressources	Recommandation : choisissez le même groupe de ressources que votre certificat App Service.
   Nom du coffre de clés	Nom unique composé uniquement de caractères alphanumériques et de tirets.
   Région	Le même emplacement que votre application App Service.
   Niveau tarifaire	Pour obtenir des informations sur les tarifs, consultez Tarification d’Azure Key Vault.
   Jours de conservation des coffres supprimés	Nombre de jours, après suppression, que les objets restent récupérables. (Voir Vue d’ensemble de la suppression réversible d’Azure Key Vault) Définissez une valeur comprise entre 7 et 90.
   Protection contre le vidage	L’activation de cette option force tous les objets supprimés à rester à l’état de suppression réversible pendant toute la durée de la période de rétention.

4. Sélectionnez Suivant, puis sélectionnez Stratégie d’accès au coffre. Actuellement, les certificats App Service ne prennent en charge que les stratégies d’accès Key Vault, et non le modèle RBAC.

5. Sélectionnez Examiner + créer, puis sélectionnez Créer.

6. Une fois le coffre de clés créé, ne sélectionnez pas Accéder à la ressource. Attendez que la page Sélectionner un coffre de clés à partir d’Azure Key Vault soit rechargée.

7. Sélectionnez Sélectionner.

8. Une fois que vous avez sélectionné le coffre, fermez la page Référentiel Key Vault. L’option Étape 1 : Stocker doit afficher une coche verte indiquant une réussite. Gardez cette page ouverte pour l’étape suivante.

Confirmer la propriété du domaine

1. À partir de la même page Configuration du certificat de la section précédente, sélectionnez Étape 2 : vérifier.

   

2. Sélectionnez Vérification App Service. Étant donné que vous avez mappé le domaine à votre application web plus haut dans cette section, le domaine est déjà vérifié. Pour terminer cette étape, sélectionnez Vérifier, puis Actualiser jusqu’à ce que le message Domaine du certificat vérifié s’affiche.

Les méthodes de vérification du domaine suivantes sont prises en charge :

Méthode	Description
Vérification d’App Service	L’option la plus pratique lorsque le domaine est déjà mappé à une application App Service dans le même abonnement, car l’application App Service a déjà vérifié la propriété du domaine. Passez en revue la dernière étape dans Confirmer la propriété du domaine.
Vérification du domaine	Confirmez un domaine App Service que vous avez acheté sur Azure. Azure ajoute automatiquement l’enregistrement TXT de vérification pour vous et effectue le processus.
Vérification par e-mail	Confirmez le domaine en envoyant un e-mail à l’administrateur de domaine. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent.
Vérification manuelle	Confirmez le domaine à l’aide d’un enregistrement TXT DNS ou d’une page HTML. (Ce dernier s’applique uniquement aux certificats Standard. (Voir la remarque suivante.) Les étapes sont indiquées après avoir sélectionné l’option. L’option de page HTML ne fonctionne pas avec les applications web pour lesquelles HTTPS uniquement est activé. Pour la vérification du domaine via l’enregistrement TXT DNS soit pour le domaine racine (par exemple, contoso.com), soit pour le sous-domaine (c’est-à-dire, www.contoso.com ou test.api.contoso.com) et quelle que soit la référence SKU du certificat, vous devez ajouter un enregistrement TXT au niveau du domaine racine en utilisant @ pour le nom et le jeton de vérification du domaine pour la valeur de votre enregistrement DNS.

Important

Avec le certificat Standard, vous obtenez un certificat pour le domaine de niveau supérieur demandé et son sous- domaine www, par exemple, contoso.com et www.contoso.com. Toutefois, la vérification App Service et la vérification manuelle utilisent tous deux la vérification de page HTML, qui ne prend pas en charge le sous-domaine www lors de l’émission, de la nouvelle clé ou du renouvellement d’un certificat. Pour le certificat Standard, utilisez la vérification de domaine et la vérification par e-mail pour inclure le sous-domaine www avec le domaine de niveau supérieur demandé dans le certificat.

Une fois votre certificat vérifié par le domaine, vous êtes prêt à l’importer dans une application App Service.

Renouveler un certificat App Service

Par défaut, les certificats App Service sont valides pendant un an. Avant la date d’expiration, vous pouvez renouveler automatiquement ou manuellement les certificats App Service par incréments d’un an. Le processus de renouvellement vous fournit de fait un nouveau certificat App Service dont la date d’expiration est prolongée d’un an à partir de la date d’expiration du certificat existant.

Notes

À compter du 23 septembre 2021, si vous n’avez pas vérifié le domaine au cours des 395 derniers jours, les certificats App Service nécessitent une vérification de domaine pendant un processus de renouvellement ou de recréation. La commande d’un nouveau certificat reste à l’état « émission en attente » durant le processus de renouvellement ou de regénération jusqu’à ce que la vérification du domaine soit terminée.

Contrairement à l’App Service Certificate managé, les certificats App Service achetés n’ont pas de vérification automatisée du domaine. L’échec de la vérification de la propriété du domaine entraîne l’échec des renouvellements. Pour plus d’informations sur la vérification de votre certificat App Service, consultez Confirmer la propriété du domaine.

Le processus de renouvellement exige que le principal de service pour App Service dispose des autorisations requises sur votre coffre de clés. Ces autorisations sont configurées pour vous lorsque vous importez un certificat App Service via le portail Azure. Assurez-vous que vous ne supprimez pas ces autorisations de votre coffre de clés.

1. Pour modifier le paramètre de renouvellement automatique de votre certificat App Service à tout moment, dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Paramètres de renouvellement automatique.

3. Sélectionnez Activer ou Désactiver, puis Enregistrer.

   Si vous activez le renouvellement automatique, les certificats peuvent commencer à se renouveler automatiquement 32 jours avant l’expiration.

   

4. Pour renouveler manuellement le certificat, sélectionnez Renouvellement manuel. Vous pouvez demander de renouveler manuellement votre certificat 60 jours avant l’expiration, mais les certificats ne peuvent pas être émis pendant plus de 397 jours.

5. Une fois l’opération de renouvellement terminée, sélectionnez Synchroniser.

   L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

   Notes

   Si vous ne sélectionnez pas Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Recréer la clé d'un App Service Certificate

Si vous pensez que la clé privée de votre certificat est compromise, vous pouvez recréer la clé de votre certificat. Cette action remplace le certificat par un nouveau certificat émis par l’autorité de certification.

1. Dans la page Certificats App Service, sélectionnez le certificat. Dans le menu de gauche, sélectionnez Recréer et synchroniser.

2. Pour démarrer le processus, sélectionnez Recréer. Ce processus peut prendre de 1 à 10 minutes.

   

3. Vous devrez peut-être également confirmer la propriété du domaine.

4. Une fois l’opération de recréation terminée, sélectionnez Synchroniser.

   L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

   Notes

   Si vous ne sélectionnez pas Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Exporter un certificat App Service

Étant donné qu’un certificat App Service est un secret Key Vault, vous pouvez exporter une copie de ce fichier PFX et l’utiliser pour d’autres services Azure ou en dehors d’Azure.

Important

Le certificat exporté est un artefact non géré. App Service ne synchronise pas ces artefacts lorsque le certificat App Service est renouvelé. Vous devez exporter et installer le certificat renouvelé si nécessaire.

Azure portal

1. Dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Exporter le certificat.

3. Sélectionner Ouvrir le secret Key Vault.

4. Sélectionnez la version actuelle du certificat.

5. Sélectionnez Télécharger sous la forme d’un certificat.

Azure CLI

Exécutez les commandes suivantes dans Azure Cloud Shell, ou exécutez-les localement si vous avez installé Azure CLI. Remplacez les espaces réservés par les noms que vous avez utilisés lorsque vous avez acheté le certificat App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Le fichier PFX téléchargé est un fichier PKCS12 brut qui contient les certificats public et privé, et son mot de passe d’importation est une chaîne vide. Vous pouvez installer localement le fichier en laissant le champ du mot de passe vide. Vous ne pouvez pas charger le fichier tel qu’il est dans App Service, car le fichier n’est pas protégé par mot de passe.

Supprimer un certificat App Service

Si vous supprimez un certificat App Service, l’opération de suppression est irréversible et finale. Le résultat est un certificat révoqué, et toute liaison dans App Service qui utilise le certificat devient non valide.

1. Dans la page Certificats App Service, sélectionnez le certificat.

2. Dans le menu de gauche, sélectionnez Vue d’ensemble>Supprimer.

3. Lorsque la zone de confirmation s’ouvre, entrez le nom du certificat, puis sélectionnez OK.

Forum aux questions

Mon certificat App Service n’a aucune valeur dans Key Vault

Votre App Service Certificate n’est probablement pas encore vérifié par domaine. Tant que la propriété du domaine n’est pas confirmée, votre certificat App Service n’est pas prêt à être utilisé. En tant que secret de coffre de clés, il conserve une balise Initialize, et sa valeur et son type de contenu restent vides. Lorsque la propriété du domaine est confirmée, le secret du coffre de clés affiche une valeur et un type de contenu, et la balise devient Ready.

Je ne parviens pas à exporter mon certificat App Service avec PowerShell

Votre App Service Certificate n’est probablement pas encore vérifié par domaine. Tant que la propriété du domaine n’est pas confirmée, votre certificat App Service n’est pas prêt à être utilisé.

Quelles modifications le processus de création de certificat App Service apporte-t-il à mon Key Vault existant ?

Le processus de création apporte les modifications suivantes :

• Ajoute deux stratégies d'accès dans le coffre-fort :
  • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
  • Fournisseur de ressources CSM du revendeur de certificats Microsoft (ou Microsoft.Azure.CertificateRegistration)
• Crée un verrou de suppression sur le coffre appelé : AppServiceCertificateLock pour empêcher la suppression accidentelle du coffre de clés.

Contenu connexe

• Sécuriser un nom DNS personnalisé avec une liaison TLS/SSL dans Azure App Service
• Appliquer le protocole HTTPS
• Appliquer le protocole TLS 1.1/1.2
• Utiliser un certificat TLS/SSL dans votre code dans Azure App Service
• Forum aux questions sur la création ou la suppression de ressources dans Azure App Service