Configurer des certificats de sécurité
Vous avez été chargé de sécuriser les informations transmises entre l’application de votre entreprise et le client. Azure App Service dispose d’outils qui vous permettent de créer, de charger ou d’importer un certificat privé ou un certificat public dans App Service.
Quand un certificat est chargé dans une application, celui-ci est stocké dans une unité de déploiement qui est liée à la combinaison Groupe de ressources/Région (appelée en interne espace web) du plan App Service. De cette façon, le certificat est accessible aux autres applications qui sont associées à la même combinaison Groupe de ressources/Région.
Le tableau ci-dessous détaille les options dont vous disposez pour ajouter des certificats dans App Service :
| Option | Description |
|---|---|
| Créer un certificat managé App Service gratuit | Certificat privé gratuit et facile à utiliser si vous devez simplement sécuriser votre domaine personnalisé dans App Service. |
| Acheter un certificat App Service | Certificat privé managé par Azure. Il combine la simplicité d’une gestion automatisée et la flexibilité des options de renouvellement et d’exportation. |
| Importer un certificat à partir de Key Vault | Utile si vous utilisez Azure Key Vault pour gérer vos certificats. |
| Téléchargement d’un certificat privé | Si vous disposez déjà d’un certificat privé provenant d’un fournisseur tiers, vous pouvez le charger. |
| Téléchargement d’un certificat public | Les certificats publics ne sont pas utilisés pour sécuriser les domaines personnalisés, mais vous pouvez les charger dans votre code si vous en avez besoin pour accéder aux ressources distantes. |
Exigences concernant les certificats privés
Le certificat managé App Service gratuit et le certificat App Service répondent déjà aux exigences d’App Service. Si vous souhaitez utiliser un certificat privé dans App Service, votre certificat doit remplir les conditions requises suivantes :
- Être exporté en tant que fichier PFX protégé par mot de passe, chiffré par Triple-DES.
- Contient une clé privée d’au moins 2 048 bits.
- Contient tous les certificats intermédiaires et le certificat racine dans la chaîne de certificats.
Pour sécuriser un domaine personnalisé dans une liaison TLS/SSL, votre certificat doit répondre à des exigences supplémentaires :
- Contenir une utilisation améliorée de la clé pour l’authentification du serveur (OID = 1.3.6.1.5.5.7.3.1)
- Être signé par une autorité de certification approuvée
Création d’un certificat managé gratuit
Pour créer des liaisons TLS/SSL personnalisées ou activer des certificats clients pour votre application App Service, votre plan App Service doit être au niveau De base, Standard, Premium ou Isolé.
Le certificat managé App Service gratuit est une solution clé en main pour la sécurisation de votre nom DNS personnalisé dans App Service. Il s’agit d’un certificat de serveur TLS/SSL entièrement géré par App Service et renouvelé en continu et automatiquement par incréments de six mois, 45 jours avant l’expiration. Vous créez le certificat, vous le liez à un domaine personnalisé et vous laissez App Service faire le reste.
Important
Avant de créer un certificat managé gratuit, assurez-vous que vous avez rempli les conditions préalables pour votre application. Les certificats gratuits sont émis par DigiCert. Pour certains domaines, vous devez autoriser explicitement DigiCert comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur : 0 issue digicert.com. Azure gérant entièrement les certificats en votre nom, tout aspect du certificat managé, y compris l’émetteur racine, peut être modifié à tout moment. Ces modifications sont en dehors de votre contrôle. Veillez à éviter les dépendances matérielles et d’« épingler » des certificats d’entraînement au certificat managé ou à toute partie de la hiérarchie de certificats.
Le certificat gratuit comprend les limitations suivantes :
- Ne prend pas en charge les certificats génériques.
- Ne prend pas en charge l’utilisation en tant que certificat client avec l’empreinte numérique du certificat, qui sera prochainement dépréciée et supprimée.
- Ne prend pas en charge le DNS privé.
- N’est pas exportable.
- N’est pas pris en charge dans App Service Environment (ASE).
- Prend uniquement en charge les caractères alphanumériques, les tirets (-) et les points (.).
- Seuls les domaines personnalisés d’une longueur maximale de 64 caractères sont pris en charge.
Importer un certificat App Service
Si vous achetez un certificat App Service dans Azure, Azure se charge des tâches suivantes :
- Prend en charge le processus d’achat à partir du fournisseur de certificats.
- Vérification du domaine du certificat
- Gestion du certificat dans Azure Key Vault
- Gère le renouvellement de certificat.
- Synchronisation automatique des certificats avec les copies importées dans les applications App Service
Si vous disposez déjà d’un certificat App Service, vous pouvez :
- Importer le certificat dans App Service
- Gérer le certificat, par exemple, le renouveler, renouveler sa clé ou l’exporter
Notes
Les certificats App Service ne sont pas pris en charge dans les clouds nationaux Azure à l’heure actuelle.