Certificats et l’environnement App Service
Notes
Cet article concerne la fonctionnalité App Service Environment v3 qui est utilisée avec les plans App Service Isolé v2
L’environnement App Service Environment est un déploiement d’Azure App Service qui s’exécute dans votre réseau virtuel Azure. Il peut être déployé avec un point de terminaison d’application accessible sur Internet ou un point de terminaison d’application dans votre réseau virtuel. Si vous déployez l’environnement App Service Environment avec un point de terminaison accessible par Internet, ce déploiement est appelé environnement App Service Environment externe. Si vous déployez l’environnement App Service Environment avec un point de terminaison dans votre réseau virtuel, ce déploiement est appelé environnement App Service Environment ILB. Pour en savoir plus sur l’environnement App Service Environment ILB, consultez le document Créer et utiliser un environnement App Service Environment ILB.
Les applications hébergées dans un App Service Environment prennent en charge les fonctionnalités de certificat suivantes centrées sur les applications, qui sont également disponibles dans l’instance App Service multilocataire. Pour connaître la configuration requise et les instructions permettant de charger et de gérer ces certificats, consultez Ajouter un certificat TLS/SSL dans Azure App Service.
Une fois que vous avez ajouté le certificat à votre application App Service ou à votre application de fonction, vous pouvez l’utiliser pour sécuriser un nom de domaine personnalisé ou l’utiliser dans votre code d’application.
Les certificats gérés par App Service ne sont pas pris en charge par les applications qui sont hébergées dans un environnement App Service Environment.
Vous pouvez configurer le paramètre TLS au niveau de l’application.
Un cas d’usage courant consiste à configurer votre application en tant que client dans un modèle client-serveur. Si vous sécurisez votre serveur avec le certificat d’une autorité de certification privée, vous devez charger le certificat client (fichier .cer) sur votre application. Les instructions suivantes permettent de charger des certificats dans le magasin de confiance des Workers sur lesquels votre application s’exécute. Vous ne devez charger le certificat qu’une seule fois pour l’utiliser avec les applications qui sont dans le même plan App Service.
Notes
Les certificats de clients privés ne sont pris en charge qu’à partir de code personnalisé dans les applications de code Windows. Les certificats clients privés ne sont pas pris en charge en dehors de l’application. Cela limite l’utilisation à des scénarios de type : tirage de l’image conteneur de l’application à partir d’un registre en utilisant un certificat privé et validation TLS avec les serveurs front-end en utilisant un certificat privé.
Suivez ces étapes pour charger le certificat (fichier .cer) dans votre application dans votre environnement App Service Environment. Le fichier .cer peut être exporté à partir de votre certificat. Pour les tests, un exemple PowerShell vous est proposé à la fin pour générer un certificat auto-signé temporaire :
Accédez à l’application qui nécessite le certificat dans le portail Azure.
Accédez à l’option Certificats dans l’application. Sélectionnez Certificat à clé publique (.cer). Sélectionnez Ajouter un certificat. Donnez-lui un nom. Recherchez et sélectionnez votre fichier .cer. Sélectionnez Télécharger.
Copiez l’empreinte numérique.
Accédez Configuration>Paramètres de l’application. Créez le paramètre d’application WEBSITE_LOAD_ROOT_CERTIFICATES avec l’empreinte comme valeur. Si vous avez plusieurs certificats, vous pouvez les placer dans le même paramètre, séparés par des virgules et sans espace comme
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
Le certificat est disponible pour toutes les applications du même plan App Service que l’application ayant configuré ce paramètre, mais pour toutes les applications qui dépendent du certificat de l’autorité de certification privée, le paramètre d’application doit être configuré afin d’éviter les problèmes de synchronisation.
Si vous souhaitez qu’il soit disponible pour les applications d’un autre plan App Service, vous devez répéter l’opération sur le paramètre d’application pour les applications dudit plan. Pour vérifier que le certificat est défini, accédez à la console Kudu et émettez la commande suivante dans la console de débogage de PowerShell :
dir Cert:\LocalMachine\Root
Pour effectuer le test, vous pouvez créer un certificat auto-signé et générer un fichier .cer avec le code PowerShell suivant :
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Si votre application fait office de serveur dans un modèle client-serveur (derrière un proxy inverse ou directement avec un client privé) et vous utilisez le certificat d’une autorité de certification privée, vous devez charger le certificat de serveur (fichier .pfx) avec la chaîne complète de certificats sur votre application et lier le certificat au domaine personnalisé. L’infrastructure étant dédiée à votre environnement App Service Environment, la chaîne de certificats complète est ajoutée au magasin de confiance des serveurs. Vous ne devez charger le certificat qu’une seule fois pour l’utiliser avec les applications se trouvant dans le même environnement App Service Environment.
Notes
Si vous avez chargé votre certificat avant 1. Octobre 2023, vous devez à nouveau charger et lier le certificat pour que la chaîne complète de certificats soit ajoutée aux serveurs.
Suivez le tutoriel Sécuriser un domaine personnalisé avec TLS/SSL pour charger/lier votre certificat racine de l’autorité de certification privée à l’application dans votre environnement App Service Environment.
- Informations sur l’utilisation des certificats dans le code d’application