App Service-tanúsítvány létrehozása és kezelése a webalkalmazáshoz
Ez a cikk bemutatja, hogyan hozhat létre és kezelhet App Service-tanúsítványokat (például megújítást, szinkronizálást és törlést). Miután megkapta az App Service-tanúsítványt, importálhatja azt egy App Service-alkalmazásba. Az App Service-tanúsítvány az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.
Ha App Service-tanúsítványt vásárol az Azure-ból, az Azure a következő feladatokat kezeli:
- Kezeli a GoDaddy vásárlási folyamatát.
- Elvégzi a tanúsítvány tartományellenőrzését.
- A tanúsítványt az Azure Key Vaultban tartja karban.
- Kezeli a tanúsítványmegújítást.
- Automatikusan szinkronizálja a tanúsítványt az App Service-alkalmazások importált példányaival.
Feljegyzés
Miután feltöltött egy tanúsítványt egy alkalmazásba, a tanúsítvány egy üzembehelyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, belsőleg webtérnek nevezve. Így a tanúsítvány más alkalmazások számára is elérhető ugyanabban az erőforráscsoportban és régiókombinációban. Az App Service-be feltöltött vagy importált tanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.
Előfeltételek
- App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. Lásd: Alkalmazás vertikális felskálázása a szint frissítéséhez.
Feljegyzés
Az App Service-tanúsítványok jelenleg nem támogatottak az Azure National Cloudsban.
App Service-tanúsítvány vásárlása és konfigurálása
Tanúsítványvásárlás indítása
Nyissa meg az App Service-tanúsítvány létrehozásának lapját, és indítsa el a vásárlást egy App Service-tanúsítványhoz.
Feljegyzés
Az Azure-ból vásárolt App Service-tanúsítványokat a GoDaddy állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a GoDaddyt tanúsítványkibocsátóként, ha létrehoz egy CAA-tartományrekordot az alábbi értékkel:
0 issue godaddy.com
A tanúsítvány konfigurálásához használja az alábbi táblázatot. Ha végzett, válassza a Véleményezés + Létrehozás, majd a Létrehozás lehetőséget.
Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.
Tanúsítvány tárolása az Azure Key Vaultban
A Key Vault egy Azure-szolgáltatás, amely segít megvédeni a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és titkos kulcsokat. App Service-tanúsítványok esetén a választott tároló a Key Vault. A tanúsítványvásárlási folyamat befejezése után még néhány lépést el kell végeznie, mielőtt elkezdené használni ezt a tanúsítványt.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A tanúsítványmenüben válassza a Tanúsítványkonfiguráció>1. lépése: Tárolás lehetőséget.
A Key Vault állapotlapján válassza a Kiválasztás lehetőséget a Key Vaultból.
Ha új tárolót hoz létre, állítsa be a tárolót az alábbi táblázat alapján, és győződjön meg arról, hogy ugyanazt az előfizetést és erőforráscsoportot használja, mint az App Service-alkalmazás.
Beállítás Leírás Erőforráscsoport Ajánlott: Ugyanaz az erőforráscsoport, mint az App Service-tanúsítvány. Kulcstartó neve Egyedi név, amely csak alfanumerikus karaktereket és kötőjeleket használ. Régió Ugyanaz a hely, mint az App Service-alkalmazás. Tarifacsomag További információt az Azure Key Vault díjszabási részleteiben talál. Törölt tárolók megőrzésének napjai A törlés utáni napok száma, amelyben az objektumok helyreállíthatók maradnak (lásd az Azure Key Vault helyreállítható törlési áttekintését). Adjon meg 7 és 90 közötti értéket. Törlés elleni védelem Megakadályozza, hogy a helyreállíthatóan törölt st objektumok manuálisan törlődjenek. A beállítás engedélyezésével az összes törölt objektum helyreállíthatóan törölt állapotban marad a megőrzési időszak teljes időtartama alatt. Válassza a Tovább lehetőséget, és válassza a Tároló hozzáférési szabályzatát. Az App Service-tanúsítványok jelenleg csak a Key Vault hozzáférési szabályzatait támogatják, az RBAC-modellt nem.
Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.
A kulcstartó létrehozása után ne válassza az Ugrás az erőforrásra lehetőséget, de várja meg, amíg a Kulcstartó kiválasztása az Azure Key Vault oldalról újra betöltődik.
Válassza a lehetőséget.
A tároló kiválasztása után zárja be a Key Vault Adattár oldalát. Az 1. lépés: Az Áruház beállításnak zöld pipát kell mutatnia a sikeresség jelzéséhez. Tartsa nyitva az oldalt a következő lépéshez.
Tartomány tulajdonjogának megerősítése
Az előző szakaszban található tanúsítványkonfigurációs lapon válassza a 2. lépés: Ellenőrzés lehetőséget.
Válassza az App Service-ellenőrzés lehetőséget. Mivel azonban az előfeltételek alapján korábban a webalkalmazáshoz rendelte le a tartományt, a tartomány már ellenőrizve van. A lépés befejezéséhez válassza az Ellenőrzés, majd a Frissítés lehetőséget, amíg meg nem jelenik a Tanúsítvány domain Verified üzenet.
A következő tartomány-ellenőrzési módszerek támogatottak:
Metódus | Leírás |
---|---|
App Service-ellenőrzés | A legkényelmesebb megoldás, ha a tartomány már le van képezve egy App Service-alkalmazásra ugyanabban az előfizetésben, mert az App Service-alkalmazás már ellenőrizte a tartomány tulajdonjogát. Tekintse át a tartomány tulajdonjogának megerősítése utolsó lépését. |
Tartomány-ellenőrzés | Erősítse meg az Azure-ból vásárolt App Service-tartományt. Az Azure automatikusan hozzáadja Önnek az ellenőrző TXT rekordot, és elvégzi a folyamatot. |
E-mail-ellenőrzés | A tartomány megerősítéséhez küldjön e-mailt a tartományi rendszergazdának. A beállítás kiválasztásakor utasítások jelennek meg. |
Manuális ellenőrzés | Erősítse meg a tartományt EGY DNS TXT rekord vagy EGY HTML-oldal használatával, amely csak a standard tanúsítványokra vonatkozik az alábbi megjegyzés szerint. A lépések a beállítás kiválasztása után lesznek megadva. A HTML-lap beállítás nem működik olyan webalkalmazások esetében, amelyeknél engedélyezve van a "CSAK HTTPS". Tartomány-ellenőrzés DNS TXT rekordon keresztül bármelyik gyökértartományhoz (azaz. "contoso.com") vagy altartomány (azaz "www.contoso.com", "test.api.contoso.com") és a tanúsítvány termékváltozatától függetlenül hozzá kell adnia egy TXT rekordot a gyökértartomány szintjén az "@" használatával a DNS-rekord értékéhez tartozó névhez és tartomány-ellenőrzési jogkivonathoz. |
Fontos
A Standard tanúsítvánnyal tanúsítványt kap a kért legfelső szintű tartományhoz és az www
altartományhoz, például contoso.com
éswww.contoso.com
. Az App Service-ellenőrzés és a manuális ellenőrzés azonban HTML-oldalellenőrzést használ, amely nem támogatja az www
altartományt a tanúsítványok kiadása, újrakulcsolása vagy megújítása során. A Standard tanúsítvány esetében a Tartomány-ellenőrzés és a Levelezés-ellenőrzés használatával vegye fel az www
altartományt a kért legfelső szintű tartományra a tanúsítványban.
A tanúsítvány tartományigazolása után készen áll arra, hogy importálja azt egy App Service-alkalmazásba.
App Service-tanúsítvány megújítása
Az App Service-tanúsítványok alapértelmezés szerint egyéves érvényességi idővel rendelkeznek. A lejárati dátum előtt és a lejárati dátumhoz közelebb automatikusan vagy manuálisan is megújíthatja az App Service-tanúsítványokat egyéves lépésekben. A megújítási folyamat hatékonyan biztosít egy új App Service-tanúsítványt, amelynek lejárati dátuma a meglévő tanúsítvány lejárati dátumától számított egy évre van meghosszabbítva.
Feljegyzés
2021. szeptember 23-tól, ha az elmúlt 395 napban nem ellenőrizte a tartományt, az App Service-tanúsítványok tartomány-ellenőrzést igényelnek a megújítási vagy újrakulcsolási folyamat során. Az új tanúsítványrendelés "függőben lévő kiállítás" módban marad a megújítási vagy újrakulcsolási folyamat során, amíg el nem végzi a tartomány-ellenőrzést.
Az ingyenes App Service által felügyelt tanúsítvánnyal ellentétben az App Service-tanúsítványok tartomány-újraellenőrzése nem automatizálható. A tartomány tulajdonjogának ellenőrzése sikertelen megújítást eredményez. Az App Service-tanúsítvány ellenőrzéséről további információt a Tartomány tulajdonjogának megerősítése című témakörben talál.
A megújítási folyamathoz az App Service jól ismert szolgáltatásnévének rendelkeznie kell a kulcstartóhoz szükséges engedélyekkel. Ezek az engedélyek az App Service-tanúsítvány Azure Portalon keresztüli importálásakor vannak beállítva. Győződjön meg arról, hogy ezeket az engedélyeket nem távolítja el a kulcstartóból.
Az App Service-tanúsítvány automatikus megújítási beállításának bármikori módosításához az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza az Automatikus megújítás Gépház lehetőséget.
Válassza a Be vagy Ki, majd a Mentés lehetőséget.
Ha bekapcsolja az automatikus megújítást, a tanúsítványok a lejárat előtt 32 nappal automatikusan megújulhatnak.
A tanúsítvány manuális megújításához válassza a Manuális megújítás lehetőséget. A tanúsítvány manuális megújítását a lejárat előtt 60 nappal kérheti, de a lejárati dátum legfeljebb 397 nap lesz.
A megújítási művelet befejezése után válassza a Szinkronizálás lehetőséget.
A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.
Feljegyzés
Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.
Újrakulcsolás és App Service-tanúsítvány
Ha úgy véli, hogy a tanúsítvány titkos kulcsa sérült, újrakulcsolt tanúsítványt használhat. Ez a művelet a tanúsítványt egy, a hitelesítésszolgáltatótól kiadott új tanúsítvánnyal összesít.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A bal oldali menüben válassza az Újrakulcs és a Szinkronizálás lehetőséget.
A folyamat elindításához válassza az Újrakulcs lehetőséget. Ez a folyamat 1-10 percet is igénybe vehet.
Előfordulhat, hogy újra meg kell erősítenie a tartomány tulajdonjogát.
Az újrakulcsosítási művelet befejezése után válassza a Szinkronizálás lehetőséget.
A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.
Feljegyzés
Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.
App Service-tanúsítvány exportálása
Mivel az App Service-tanúsítvány egy Key Vault-titkos kód, exportálhat egy másolatot PFX-fájlként, amelyet más Azure-szolgáltatásokhoz vagy az Azure-on kívül is használhat.
Fontos
Az exportált tanúsítvány nem felügyelt összetevő. Az App Service nem szinkronizálja az ilyen összetevőket az App Service-tanúsítvány megújításakor. Szükség esetén exportálnia és telepítenie kell a megújított tanúsítványt.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza a Tanúsítvány exportálása lehetőséget.
Válassza a Key Vault titkos kulcsának megnyitása lehetőséget.
Válassza ki a tanúsítvány aktuális verzióját.
Válassza a Letöltés tanúsítványként lehetőséget.
A letöltött PFX-fájl egy nyers PKCS12-fájl, amely mind a nyilvános, mind a magántanúsítványokat tartalmazza, és egy üres sztringet tartalmazó importálási jelszóval rendelkezik. A fájlt helyileg telepítheti úgy, hogy üresen hagyja a jelszómezőt. Nem töltheti fel a fájlt az App Service-be , mert a fájl nem jelszóval védett.
App Service-tanúsítvány törlése
Ha töröl egy App Service-tanúsítványt, a törlési művelet visszavonhatatlan és végleges. Az eredmény egy visszavont tanúsítvány, és az App Service-ben a tanúsítványt használó kötések érvénytelenek lesznek.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza az Áttekintés>törlése lehetőséget.
Amikor megnyílik a megerősítést kérő mező, adja meg a tanúsítvány nevét, és válassza az OK gombot.
Gyakori kérdések
Az App Service-tanúsítványomnak nincs értéke a Key Vaultban
Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra. Kulcstartó-titkos kódként egy címkét Initialize
tart fenn, és értéke és tartalomtípusa üres marad. A tartomány tulajdonjogának megerősítésekor a kulcstartó titkos kódja egy értéket és egy tartalomtípust jelenít meg, a címke pedig a következőre Ready
változik: .
Nem tudom exportálni az App Service-tanúsítványomat a PowerShell használatával
Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra.
Milyen módosításokat hajt végre az App Service-tanúsítványlétrehozás folyamata a meglévő Key Vaulton?
A létrehozási folyamat a következő módosításokat hajtja végre:
- Két hozzáférési szabályzatot ad hozzá a tárolóhoz:
- Microsoft.Azure.WebSites (vagy
Microsoft Azure App Service
) - Microsoft-tanúsítvány viszonteladói CSM-erőforrás-szolgáltató (vagy
Microsoft.Azure.CertificateRegistration
)
- Microsoft.Azure.WebSites (vagy
- Létrehoz egy törlési zárolást a hívott tárolón,
AppServiceCertificateLock
amely megakadályozza a kulcstartó véletlen törlését.