TLS/SSL-tanúsítványok hozzáadása és kezelése Azure-alkalmazás szolgáltatásban

Hozzáadhat digitális biztonsági tanúsítványokat az alkalmazáskódban való használathoz, vagy az egyéni DNS-nevek védelméhez a Azure-alkalmazás Szolgáltatásban, amely nagy mértékben méretezhető, önjavító web hosting szolgáltatást biztosít. A jelenleg Transport Layer Security (TLS) tanúsítványok, más néven a Secure Socket Layer (SSL) tanúsítványok, ezek a privát vagy nyilvános tanúsítványok segítenek az internetkapcsolatok védelmében a böngésző, a meglátogatott webhelyek és a webhelykiszolgáló között küldött adatok titkosításával.

Az alábbi táblázat felsorolja a tanúsítványok App Service-ben való hozzáadásának lehetőségeit:

Lehetőség	Leírás
Ingyenes, felügyelt App Service-tanúsítvány létrehozása	Ingyenes és könnyen használható magántanúsítvány, ha csak az egyéni tartományt kell biztonságossá tenni az App Service-ben.
App Service-tanúsítvány importálása	Az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.
Tanúsítvány importálása a Key Vaultból	Hasznos, ha az Azure Key Vault használatával kezeli a PKCS12-tanúsítványokat. Lásd a magántanúsítvány követelményeit.
Magántanúsítvány feltöltése	Ha már rendelkezik egy külső szolgáltatótól származó magántanúsítvánnyal, feltöltheti azt. Lásd a magántanúsítvány követelményeit.
Nyilvános tanúsítvány feltöltése	A nyilvános tanúsítványok nem az egyéni tartományok védelmére szolgálnak, de betöltheti őket a kódba, ha szüksége van rájuk a távoli erőforrások eléréséhez.

Előfeltételek

• App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. Lásd: Alkalmazás vertikális felskálázása a szint frissítéséhez.

• Magántanúsítvány esetén győződjön meg arról, hogy megfelel az App Service minden követelményének.

• Csak ingyenes tanúsítvány:

  • Képezheti le azt a tartományt, ahol a tanúsítványt az App Service-be szeretné helyezni. További információ: Oktatóanyag: Meglévő egyéni DNS-név leképezése Azure-alkalmazás szolgáltatásra.

  • Gyökértartomány (például contoso.com) esetén győződjön meg arról, hogy az alkalmazás nem rendelkezik ip-korlátozásokkal . A tanúsítványlétrehozás és a gyökértartomány rendszeres megújítása attól függ, hogy az alkalmazás elérhető-e az internetről.

Magántanúsítvány-követelmények

Az ingyenes App Service által felügyelt tanúsítvány és az App Service-tanúsítvány már megfelel az App Service követelményeinek. Ha magántanúsítványt szeretne feltölteni vagy importálni az App Service-be, a tanúsítványnak meg kell felelnie az alábbi követelményeknek:

• Jelszóval védett PFX-fájlként exportálva, tripla DES használatával titkosítva.
• Legalább 2048 bit hosszúságú titkos kulcsot kell tartalmaznia.
• Tartalmazza a tanúsítványláncban lévő összes köztes tanúsítványt és a főtanúsítványt.

Egy egyéni tartomány TLS-kötésben való védelméhez a tanúsítvány további követelményekkel rendelkezik:

• Bővített kulcshasználatot tartalmaz a kiszolgálóhitelesítéshez (OID = 1.3.6.1.5.5.7.3.1)
• A tanúsítványt megbízható hitelesítésszolgáltatónak kell aláírnia.

Feljegyzés

Az elliptikus görbe titkosítási (ECC) tanúsítványai az App Service-vel működnek, de ez a cikk nem foglalkozik velük. Az ECC-tanúsítványok létrehozásának pontos lépéseit a hitelesítésszolgáltatóval együttműködve végezheti el.

Feljegyzés

Miután hozzáadott egy magántanúsítványt egy alkalmazáshoz, a tanúsítvány egy üzembe helyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, amelyet belsőleg webtérnek neveznek. Így a tanúsítvány elérhető az ugyanazon erőforráscsoportban, régióban és operációsrendszer-kombinációban lévő többi alkalmazás számára. Az App Service-be feltöltött vagy importált magántanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.

Webtérenként legfeljebb 1000 privát tanúsítványt adhat hozzá.

Ingyenes felügyelt tanúsítvány létrehozása

Az ingyenes App Service által felügyelt tanúsítvány kulcsrakész megoldás az egyéni DNS-név védelmére az App Service-ben. A TLS/SSL-kiszolgáló tanúsítványát az App Service teljes körűen felügyeli, és hat hónapos lépésekben, 45 nappal a lejárat előtt automatikusan megújítja, feltéve, hogy a beállított előfeltételek változatlanok maradnak. Az összes társított kötés frissül a megújított tanúsítvánnyal. Létrehozhatja és egy egyéni tartományhoz kötheti a tanúsítványt, és hagyja, hogy az App Service végezze el a többit.

Fontos

Mielőtt ingyenes felügyelt tanúsítványt hoz létre, győződjön meg arról, hogy megfelelt az alkalmazás előfeltételeinek .

Az ingyenes tanúsítványokat a DigiCert állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a DigiCert tanúsítványkibocsátóként egy CAA-tartományrekord létrehozását a következő értékkel: 0 issue digicert.com.

Az Azure teljes mértékben kezeli a tanúsítványokat az Ön nevében, így a felügyelt tanúsítvány bármely aspektusa, beleértve a fő kiállítót is, bármikor változhat. Ezek a módosítások nem önre vannak irányítva. Ügyeljen arra, hogy elkerülje a szigorú függőségeket és a "rögzítést" gyakorló tanúsítványokat a felügyelt tanúsítványra vagy a tanúsítványhierarchia bármely részére. Ha a tanúsítvány rögzítési viselkedésére van szüksége, adjon hozzá egy tanúsítványt az egyéni tartományhoz a jelen cikkben szereplő bármely más elérhető módszer használatával.

Az ingyenes tanúsítványra a következő korlátozások vonatkoznak:

• Nem támogatja a helyettesítő tanúsítványokat.
• Nem támogatja az ügyféltanúsítványként való használatot a tanúsítvány ujjlenyomatával, amelyet elavuláshoz és eltávolításhoz terveznek.
• Nem támogatja a privát DNS-t.
• Nem exportálható.
• App Service-környezetben (A Standard kiadás) nem támogatott.
• Csak alfanumerikus karaktereket, kötőjeleket (-) és pontokat (.) támogat.
• Csak a legfeljebb 64 karakter hosszúságú egyéni tartományok támogatottak.

Csúcstartomány

• A webalkalmazás IP-címére mutató A rekordnak kell lennie.
• Nem támogatott olyan alkalmazások esetében, amelyek nem nyilvánosan hozzáférhetők.
• A Traffic Managerrel integrált gyökértartományok nem támogatottak.
• A tanúsítványok sikeres kiállításához és megújításához meg kell felelnie a fentieknek.

Aldomain

• A CNAME-nak közvetlenül <app-name>.azurewebsites.net vagy trafficmanager.net kell lennie. A köztes CNAME értékre való leképezés blokkolja a tanúsítványok kiállítását és megújítását.
• A tanúsítványok sikeres kiállításához és megújításához meg kell felelnie a fentieknek.

1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok lehetőséget. A Felügyelt tanúsítványok panelen válassza a Tanúsítvány hozzáadása lehetőséget.

   

3. Válassza ki az ingyenes tanúsítványhoz tartozó egyéni tartományt, majd válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés befejeződött, válassza a Hozzáadás lehetőséget. Minden támogatott egyéni tartományhoz csak egy felügyelt tanúsítvány hozható létre.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a felügyelt tanúsítványok listájában.

   

4. Ha ezzel a tanúsítvánnyal szeretne egyéni tartományt biztonságossá tenni, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

App Service-tanúsítvány importálása

App Service-tanúsítvány importálásához először vásároljon és konfiguráljon egy App Service-tanúsítványt, majd kövesse az alábbi lépéseket.

1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítványokat (.pfx)>Tanúsítvány hozzáadása lehetőséget.

3. A Forrás területen válassza az App Service-tanúsítvány importálása lehetőséget.

4. Az App Service-tanúsítványban válassza ki az imént létrehozott tanúsítványt.

5. A Tanúsítványbarát névben adjon nevet a tanúsítványnak az alkalmazásban.

6. Válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés sikeres, válassza a Hozzáadás lehetőséget.

   

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

   

7. Ha ezzel a tanúsítvánnyal szeretne egyéni tartományt biztonságossá tenni, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Tanúsítvány importálása a Key Vaultból

Ha az Azure Key Vault használatával kezeli a tanúsítványokat, importálhat egy PKCS12-tanúsítványt az App Service-be a Key Vaultból, ha megfelel a követelményeknek.

Az App Service olvasásának engedélyezése a tárolóból

Alapértelmezés szerint az App Service-erőforrás-szolgáltató nem rendelkezik hozzáféréssel a kulcstartóhoz. A kulcstartó tanúsítványtelepítéshez való használatához engedélyeznie kell az erőforrás-szolgáltató olvasási hozzáférését a kulcstartóhoz.

Feljegyzés

Az Azure Portalon jelenleg nem konfigurálhat App Service-tanúsítványt a Key Vaultban az RBAC-modell használatára. A konfiguráció végrehajtásához azonban használhatja az Azure CLI-t, az Azure PowerShellt vagy egy ARM-sablon üzembe helyezését. További információ: Hozzáférés biztosítása a Key Vault kulcsaihoz, tanúsítványaihoz és titkos kulcsaihoz azure-beli szerepköralapú hozzáférés-vezérléssel.

Erőforrás-szolgáltató	Egyszerű szolgáltatásalkalmazás azonosítója	Key Vault titkos kulcsengedélyek	Key Vault-tanúsítványengedélyek
Microsoft Azure-alkalmazás Service vagy Microsoft.Azure.WebSites	- abfa0a7c-a6b6-4736-8310-5855508787cd, ami minden Azure-előfizetés esetében ugyanaz - Az Azure Government felhőkörnyezethez használja a következőt 6a02c803-dafd-4136-b4c3-5a6f318b4714: .	Beolvasás	Lekérés
Microsoft.Azure.CertificateRegistration		Beolvasás Lista Set Törlés	Beolvasás Lista

Tanúsítvány importálása a tárolóból az alkalmazásba

1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítványokat (.pfx)>Tanúsítvány hozzáadása lehetőséget.

3. A Forrás területen válassza az Importálás a Key Vaultból lehetőséget.

4. Válassza a Key Vault-tanúsítvány kiválasztása lehetőséget.

   

5. A tanúsítvány kiválasztásához használja az alábbi táblázatot:

   Beállítás	Leírás
   Előfizetés	A kulcstartóhoz társított előfizetés.
   Key Vault	Az importálni kívánt tanúsítványt tartalmazó kulcstartó.
   Tanúsítvány	Ebben a listában válasszon ki egy, a tárolóban található PKCS12-tanúsítványt. A tárolóban található összes PKCS12-tanúsítvány az ujjlenyomatokkal együtt szerepel a listán, de az App Service nem támogatja őket.

6. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában. Ha az importálás hiba miatt meghiúsul, a tanúsítvány nem felel meg az App Service követelményeinek.

   

   Feljegyzés

   Ha új tanúsítvánnyal frissíti a tanúsítványt a Key Vaultban, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

7. Ha ezzel a tanúsítvánnyal szeretne egyéni tartományt biztonságossá tenni, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Magántanúsítvány feltöltése

Miután tanúsítványt kapott a tanúsítványszolgáltatótól, készítse elő a tanúsítványt az App Service-hez az ebben a szakaszban ismertetett lépések végrehajtásával.

Köztes tanúsítványok egyesítése

Ha a hitelesítésszolgáltató több tanúsítványt is biztosít a tanúsítványláncban, a tanúsítványokat azonos sorrendben kell egyesítenie.

1. Egy szövegszerkesztőben nyissa meg az egyes fogadott tanúsítványokat.

2. Az egyesített tanúsítvány tárolásához hozzon létre egy mergedcertificate.crt nevű fájlt.

3. Másolja az egyes tanúsítványok tartalmát ebbe a fájlba. Ügyeljen arra, hogy kövesse a tanúsítványlánc által megadott tanúsítványütemezést, kezdve a tanúsítványával és a főtanúsítvánnyal, például:

   -----BEGIN CERTIFICATE-----
   <your entire Base64 encoded SSL certificate>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 1>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 2>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded root certificate>
   -----END CERTIFICATE-----
   

Egyesített magántanúsítvány exportálása a PFX-be

Most exportálja az egyesített TLS/SSL-tanúsítványt a tanúsítványkérelem létrehozásához használt titkos kulccsal. Ha az OpenSSL használatával hozta létre a tanúsítványkérelemet, létrehozott egy titkos kulcsfájlt.

Feljegyzés

Az OpenSSL v3 az alapértelmezett titkosítást 3DES-ről AES256-ra módosította, de ez felülbírálható a -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 parancssoron. Az OpenSSL v1 alapértelmezés szerint a 3DES-t használja, így a létrehozott PFX-fájlok speciális módosítások nélkül támogatottak.

1. A tanúsítvány PFX-fájlba való exportálásához futtassa a következő parancsot, de cserélje le a helyőrzőket <a titkos kulcs> és <az egyesített tanúsítványfájl> elérési útjára.

   openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
   

2. Amikor a rendszer kéri, adjon meg egy jelszót az exportálási művelethez. Amikor később feltölti a TLS/SSL-tanúsítványt az App Service-be, meg kell adnia ezt a jelszót.

3. Ha IIS-t vagy Certreq.exe használt a tanúsítványkérelem létrehozásához, telepítse a tanúsítványt a helyi számítógépre, majd exportálja a tanúsítványt egy PFX-fájlba.

Tanúsítvány feltöltése az App Service-be

Most már feltöltheti a tanúsítványt az App Service-be.

1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítvány (.pfx)>Tanúsítvány feltöltése lehetőséget.

   

3. A .pfx tanúsítvány feltöltéséhez használja az alábbi táblázatot:

   Beállítás	Leírás
   PFX-tanúsítványfájl	Válassza ki a .pfx fájlt.
   Tanúsítvány jelszava	Adja meg a PFX-fájl exportálásakor létrehozott jelszót.
   Tanúsítványbarát név	A webalkalmazásban megjelenő tanúsítványnév.

4. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

   

5. Ha ezzel a tanúsítvánnyal szeretne egyéni tartományt biztonságossá tenni, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Nyilvános tanúsítvány feltöltése

A nyilvános tanúsítványok .cer formátumban támogatottak.

Feljegyzés

Miután feltöltött egy nyilvános tanúsítványt egy alkalmazásba, az csak a feltöltött alkalmazás számára érhető el. A nyilvános tanúsítványokat minden olyan webalkalmazásba fel kell tölteni, amelyhez hozzáférés szükséges. Az App Service Environment-specifikus forgatókönyvek esetében tekintse meg a tanúsítványok dokumentációját és az App Service-környezetet

App Service-csomagonként legfeljebb 1000 nyilvános tanúsítványt tölthet fel.

1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>nyilvános kulcsú tanúsítványok (.cer)>Tanúsítvány hozzáadása lehetőséget.

3. A .cer tanúsítvány feltöltéséhez használja az alábbi táblázatot:

   Beállítás	Leírás
   CER-tanúsítványfájl	Válassza ki a .cer fájlt.
   Tanúsítványbarát név	A webalkalmazásban megjelenő tanúsítványnév.

4. Ha elkészült, válassza a Hozzáadás lehetőséget.

   

5. A tanúsítvány feltöltése után másolja ki a tanúsítvány ujjlenyomatát, majd tekintse át a Tanúsítvány akadálymentessé tétele című cikket.

Lejáró tanúsítvány megújítása

Mielőtt egy tanúsítvány lejár, adja hozzá a megújított tanúsítványt az App Service-hez, és frissítse azokat a tanúsítványkötéseket, amelyeknél a folyamat a tanúsítvány típusától függ. Például a Key Vaultból importált tanúsítvány, beleértve egy App Service-tanúsítványt is, 24 óránként automatikusan szinkronizálódik az App Service-hez, és frissíti a TLS/SSL kötést a tanúsítvány megújításakor. Feltöltött tanúsítvány esetén nincs automatikus kötésfrissítés. A forgatókönyv alapján tekintse át a megfelelő szakaszt:

• Feltöltött tanúsítvány megújítása
• App Service-tanúsítvány megújítása
• A Key Vaultból importált tanúsítvány megújítása

Feltöltött tanúsítvány megújítása

Ha lecserél egy lejáró tanúsítványt, a tanúsítványkötés új tanúsítványra való frissítésének módja hátrányosan befolyásolhatja a felhasználói élményt. Előfordulhat például, hogy a bejövő IP-cím megváltozik egy kötés törlésekor, még akkor is, ha a kötés IP-alapú. Ez az eredmény különösen akkor hat, ha egy már IP-alapú kötésben lévő tanúsítványt újít meg. Az alkalmazás IP-címének módosításának elkerülése és az alkalmazás HTTPS-hibák miatti állásidejének elkerülése érdekében kövesse az alábbi lépéseket a megadott sorrendben:

1. Töltse fel az új tanúsítványt.

2. Lépjen az alkalmazás Egyéni tartományok lapjára, válassza a ... műveletek gombot, és válassza a Kötés frissítése lehetőséget.

3. Válassza ki az új tanúsítványt, és válassza a Frissítés lehetőséget.

4. Törölje a meglévő tanúsítványt.

A Key Vaultból importált tanúsítvány megújítása

Feljegyzés

Az App Service-tanúsítvány megújításáról az App Service-tanúsítvány megújítása című témakörben olvashat.

Az App Service-be a Key Vaultból importált tanúsítvány megújításához tekintse át az Azure Key Vault-tanúsítvány megújítását.

Miután a tanúsítvány megújul a kulcstartóban, az App Service automatikusan szinkronizálja az új tanúsítványt, és 24 órán belül frissíti a vonatkozó tanúsítványkötéseket. A manuális szinkronizáláshoz kövesse az alábbi lépéseket:

1. Nyissa meg az alkalmazás Tanúsítvány lapját.

2. A Saját tanúsítványok (.pfx) területen válassza az importált kulcstartó tanúsítványának ... részletek gombját, majd válassza a Szinkronizálás lehetőséget.

Gyakori kérdések

• Hogyan automatizálhatom a saját tulajdonú bővítmények alkalmazáshoz való hozzáadását?
• Az App Service-tanúsítványokra vonatkozó gyakori kérdések

Hogyan automatizálhatom a saját tulajdonú bővítmények alkalmazáshoz való hozzáadását?

• Azure CLI: Egyéni TLS/SSL-tanúsítvány kötése webalkalmazáshoz
• Az Azure PowerShell egyéni TLS/SSL-tanúsítvány kötése webalkalmazáshoz a PowerShell használatával

Konfigurálhatok privát hitelesítésszolgáltatói tanúsítványt az alkalmazásomon?

Az App Service rendelkezik a megbízható főtanúsítványok listájával, amelyeket nem lehet módosítani az App Service több-bérlős változatverziójában, de betöltheti saját hitelesítésszolgáltatói tanúsítványát egy App Service-környezetben (A Standard kiadás), amely egy bérlős környezet az App Service-ben. (Az ingyenes, alapszintű, standard és prémium Szintű App Service-csomagok mind több-bérlősek, az izolált csomagok pedig egybérlősek.)

• Privát ügyféltanúsítvány

További erőforrások

• Egyéni DNS-név védelme TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban
• HTTPS kényszerítése
• TLS 1.1/1.2 kényszerítése
• TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
• Gyakori kérdések : App Service-tanúsítványok