App Service-tanúsítvány létrehozása és kezelése a webalkalmazáshoz

Ez a cikk bemutatja, hogyan hozhat létre és kezelhet App Service-tanúsítványokat (például megújítást, szinkronizálást és törlést). Miután megkapta az App Service-tanúsítványt, importálhatja azt egy App Service-alkalmazásba. Az App Service-tanúsítvány az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.

Ha App Service-tanúsítványt vásárol az Azure-ból, az Azure a következő feladatokat kezeli:

• Kezeli a GoDaddy vásárlási folyamatát.
• Elvégzi a tanúsítvány tartományellenőrzését.
• A tanúsítványt az Azure Key Vaultban tartja karban.
• Kezeli a tanúsítványmegújítást.
• Automatikusan szinkronizálja a tanúsítványt az App Service-alkalmazások importált példányaival.

Feljegyzés

Miután feltöltött egy tanúsítványt egy alkalmazásba, a tanúsítvány egy üzembehelyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, belsőleg webtérnek nevezve. Így a tanúsítvány más alkalmazások számára is elérhető ugyanabban az erőforráscsoportban és régiókombinációban. Az App Service-be feltöltött vagy importált tanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.

Előfeltételek

• App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. Lásd: Alkalmazás vertikális felskálázása a szint frissítéséhez.

Feljegyzés

Az App Service-tanúsítványok jelenleg nem támogatottak az Azure National Cloudsban.

App Service-tanúsítvány vásárlása és konfigurálása

Tanúsítványvásárlás indítása

1. Nyissa meg az App Service-tanúsítvány létrehozásának lapját, és indítsa el a vásárlást egy App Service-tanúsítványhoz.

   Feljegyzés

   Az Azure-ból vásárolt App Service-tanúsítványokat a GoDaddy állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a GoDaddyt tanúsítványkibocsátóként, ha létrehoz egy CAA-tartományrekordot az alábbi értékkel: 0 issue godaddy.com

   

2. A tanúsítvány konfigurálásához használja az alábbi táblázatot. Ha végzett, válassza a Véleményezés + Létrehozás, majd a Létrehozás lehetőséget.

   Beállítás	Leírás
   Előfizetés	A tanúsítványhoz társítandó Azure-előfizetés.
   Erőforráscsoport	A tanúsítványt tartalmazó erőforráscsoport. Létrehozhat egy új erőforráscsoportot, vagy kiválaszthatja ugyanazt az erőforráscsoportot, mint az App Service-alkalmazás.
   Termékváltozat	Meghatározza a létrehozandó tanúsítvány típusát, akár standard, akár helyettesítő tanúsítványt.
   Meztelen tartomány gazdagépének neve	Adja meg a gyökértartományt. A kiadott tanúsítvány a gyökértartományt és az altartományt www is védi. A kiadott tanúsítványban a Common Name mező adja meg a gyökértartományt, a Tulajdonos alternatív neve mező pedig a tartománytwww. Ha csak az altartományokat szeretné biztonságossá tenni, adja meg az altartomány teljes tartománynevét, például mysubdomain.contoso.com.
   Tanúsítvány neve	Az App Service-tanúsítvány rövid neve.
   Automatikus megújítás engedélyezése	Adja meg, hogy a tanúsítványt a lejárat előtt automatikusan megújítja-e. Minden megújítás egy évvel meghosszabbítja a tanúsítvány lejáratát, és a költségek az előfizetésre kerülnek.

3. Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.

Tanúsítvány tárolása az Azure Key Vaultban

A Key Vault egy Azure-szolgáltatás, amely segít megvédeni a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és titkos kulcsokat. App Service-tanúsítványok esetén a választott tároló a Key Vault. A tanúsítványvásárlási folyamat befejezése után még néhány lépést el kell végeznie, mielőtt elkezdené használni ezt a tanúsítványt.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A tanúsítványmenüben válassza a Tanúsítványkonfiguráció>1. lépése: Tárolás lehetőséget.

   

2. A Key Vault állapotlapján válassza a Kiválasztás lehetőséget a Key Vaultból.

3. Ha új tárolót hoz létre, állítsa be a tárolót az alábbi táblázat alapján, és győződjön meg arról, hogy ugyanazt az előfizetést és erőforráscsoportot használja, mint az App Service-alkalmazás.

   Beállítás	Leírás
   Erőforráscsoport	Ajánlott: Ugyanaz az erőforráscsoport, mint az App Service-tanúsítvány.
   Kulcstartó neve	Egyedi név, amely csak alfanumerikus karaktereket és kötőjeleket használ.
   Régió	Ugyanaz a hely, mint az App Service-alkalmazás.
   Tarifacsomag	További információt az Azure Key Vault díjszabási részleteiben talál.
   Törölt tárolók megőrzésének napjai	A törlés utáni napok száma, amelyben az objektumok helyreállíthatók maradnak (lásd az Azure Key Vault helyreállítható törlési áttekintését). Adjon meg 7 és 90 közötti értéket.
   Törlés elleni védelem	Megakadályozza, hogy a helyreállíthatóan törölt st objektumok manuálisan törlődjenek. A beállítás engedélyezésével az összes törölt objektum helyreállíthatóan törölt állapotban marad a megőrzési időszak teljes időtartama alatt.

4. Válassza a Tovább lehetőséget, és válassza a Tároló hozzáférési szabályzatát. Az App Service-tanúsítványok jelenleg csak a Key Vault hozzáférési szabályzatait támogatják, az RBAC-modellt nem.

5. Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.

6. A kulcstartó létrehozása után ne válassza az Ugrás az erőforrásra lehetőséget, de várja meg, amíg a Kulcstartó kiválasztása az Azure Key Vault oldalról újra betöltődik.

7. Válassza a lehetőséget.

8. A tároló kiválasztása után zárja be a Key Vault Adattár oldalát. Az 1. lépés: Az Áruház beállításnak zöld pipát kell mutatnia a sikeresség jelzéséhez. Tartsa nyitva az oldalt a következő lépéshez.

Tartomány tulajdonjogának megerősítése

1. Az előző szakaszban található tanúsítványkonfigurációs lapon válassza a 2. lépés: Ellenőrzés lehetőséget.

   

2. Válassza az App Service-ellenőrzés lehetőséget. Mivel azonban az előfeltételek alapján korábban a webalkalmazáshoz rendelte le a tartományt, a tartomány már ellenőrizve van. A lépés befejezéséhez válassza az Ellenőrzés, majd a Frissítés lehetőséget, amíg meg nem jelenik a Tanúsítvány domain Verified üzenet.

A következő tartomány-ellenőrzési módszerek támogatottak:

Metódus	Leírás
App Service-ellenőrzés	A legkényelmesebb megoldás, ha a tartomány már le van képezve egy App Service-alkalmazásra ugyanabban az előfizetésben, mert az App Service-alkalmazás már ellenőrizte a tartomány tulajdonjogát. Tekintse át a tartomány tulajdonjogának megerősítése utolsó lépését.
Tartomány-ellenőrzés	Erősítse meg az Azure-ból vásárolt App Service-tartományt. Az Azure automatikusan hozzáadja Önnek az ellenőrző TXT rekordot, és elvégzi a folyamatot.
E-mail-ellenőrzés	A tartomány megerősítéséhez küldjön e-mailt a tartományi rendszergazdának. A beállítás kiválasztásakor utasítások jelennek meg.
Manuális ellenőrzés	Erősítse meg a tartományt EGY DNS TXT rekord vagy EGY HTML-oldal használatával, amely csak a standard tanúsítványokra vonatkozik az alábbi megjegyzés szerint. A lépések a beállítás kiválasztása után lesznek megadva. A HTML-lap beállítás nem működik olyan webalkalmazások esetében, amelyeknél engedélyezve van a "CSAK HTTPS". Tartomány-ellenőrzés DNS TXT rekordon keresztül bármelyik gyökértartományhoz (azaz. "contoso.com") vagy altartomány (azaz "www.contoso.com", "test.api.contoso.com") és a tanúsítvány termékváltozatától függetlenül hozzá kell adnia egy TXT rekordot a gyökértartomány szintjén az "@" használatával a DNS-rekord értékéhez tartozó névhez és tartomány-ellenőrzési jogkivonathoz.

Fontos

A Standard tanúsítvánnyal tanúsítványt kap a kért legfelső szintű tartományhoz és az www altartományhoz, például contoso.com éswww.contoso.com. Az App Service-ellenőrzés és a manuális ellenőrzés azonban HTML-oldalellenőrzést használ, amely nem támogatja az www altartományt a tanúsítványok kiadása, újrakulcsolása vagy megújítása során. A Standard tanúsítvány esetében a Tartomány-ellenőrzés és a Levelezés-ellenőrzés használatával vegye fel az www altartományt a kért legfelső szintű tartományra a tanúsítványban.

A tanúsítvány tartományigazolása után készen áll arra, hogy importálja azt egy App Service-alkalmazásba.

App Service-tanúsítvány megújítása

Az App Service-tanúsítványok alapértelmezés szerint egyéves érvényességi idővel rendelkeznek. A lejárati dátum előtt és a lejárati dátumhoz közelebb automatikusan vagy manuálisan is megújíthatja az App Service-tanúsítványokat egyéves lépésekben. A megújítási folyamat hatékonyan biztosít egy új App Service-tanúsítványt, amelynek lejárati dátuma a meglévő tanúsítvány lejárati dátumától számított egy évre van meghosszabbítva.

Feljegyzés

2021. szeptember 23-tól, ha az elmúlt 395 napban nem ellenőrizte a tartományt, az App Service-tanúsítványok tartomány-ellenőrzést igényelnek a megújítási vagy újrakulcsolási folyamat során. Az új tanúsítványrendelés "függőben lévő kiállítás" módban marad a megújítási vagy újrakulcsolási folyamat során, amíg el nem végzi a tartomány-ellenőrzést.

Az ingyenes App Service által felügyelt tanúsítvánnyal ellentétben az App Service-tanúsítványok tartomány-újraellenőrzése nem automatizálható. A tartomány tulajdonjogának ellenőrzése sikertelen megújítást eredményez. Az App Service-tanúsítvány ellenőrzéséről további információt a Tartomány tulajdonjogának megerősítése című témakörben talál.

A megújítási folyamathoz az App Service jól ismert szolgáltatásnévének rendelkeznie kell a kulcstartóhoz szükséges engedélyekkel. Ezek az engedélyek az App Service-tanúsítvány Azure Portalon keresztüli importálásakor vannak beállítva. Győződjön meg arról, hogy ezeket az engedélyeket nem távolítja el a kulcstartóból.

1. Az App Service-tanúsítvány automatikus megújítási beállításának bármikori módosításához az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali menüben válassza az Automatikus megújítás Gépház lehetőséget.

3. Válassza a Be vagy Ki, majd a Mentés lehetőséget.

   Ha bekapcsolja az automatikus megújítást, a tanúsítványok a lejárat előtt 32 nappal automatikusan megújulhatnak.

   

4. A tanúsítvány manuális megújításához válassza a Manuális megújítás lehetőséget. A tanúsítvány manuális megújítását a lejárat előtt 60 nappal kérheti, de a lejárati dátum legfeljebb 397 nap lesz.

5. A megújítási művelet befejezése után válassza a Szinkronizálás lehetőséget.

   A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.

   Feljegyzés

   Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

Újrakulcsolás és App Service-tanúsítvány

Ha úgy véli, hogy a tanúsítvány titkos kulcsa sérült, újrakulcsolt tanúsítványt használhat. Ez a művelet a tanúsítványt egy, a hitelesítésszolgáltatótól kiadott új tanúsítvánnyal összesít.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A bal oldali menüben válassza az Újrakulcs és a Szinkronizálás lehetőséget.

2. A folyamat elindításához válassza az Újrakulcs lehetőséget. Ez a folyamat 1-10 percet is igénybe vehet.

   

3. Előfordulhat, hogy újra meg kell erősítenie a tartomány tulajdonjogát.

4. Az újrakulcsosítási művelet befejezése után válassza a Szinkronizálás lehetőséget.

   A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.

   Feljegyzés

   Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

App Service-tanúsítvány exportálása

Mivel az App Service-tanúsítvány egy Key Vault-titkos kód, exportálhat egy másolatot PFX-fájlként, amelyet más Azure-szolgáltatásokhoz vagy az Azure-on kívül is használhat.

Fontos

Az exportált tanúsítvány nem felügyelt összetevő. Az App Service nem szinkronizálja az ilyen összetevőket az App Service-tanúsítvány megújításakor. Szükség esetén exportálnia és telepítenie kell a megújított tanúsítványt.

Azure Portal

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali menüben válassza a Tanúsítvány exportálása lehetőséget.

3. Válassza a Key Vault titkos kulcsának megnyitása lehetőséget.

4. Válassza ki a tanúsítvány aktuális verzióját.

5. Válassza a Letöltés tanúsítványként lehetőséget.

Azure CLI

Futtassa az alábbi parancsokat az Azure Cloud Shellben, vagy futtassa őket helyileg, ha telepítette az Azure CLI-t. Cserélje le a helyőrzőket az App Service-tanúsítvány megvásárlásakor használt nevekre.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

A letöltött PFX-fájl egy nyers PKCS12-fájl, amely mind a nyilvános, mind a magántanúsítványokat tartalmazza, és egy üres sztringet tartalmazó importálási jelszóval rendelkezik. A fájlt helyileg telepítheti úgy, hogy üresen hagyja a jelszómezőt. Nem töltheti fel a fájlt az App Service-be , mert a fájl nem jelszóval védett.

App Service-tanúsítvány törlése

Ha töröl egy App Service-tanúsítványt, a törlési művelet visszavonhatatlan és végleges. Az eredmény egy visszavont tanúsítvány, és az App Service-ben a tanúsítványt használó kötések érvénytelenek lesznek.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali menüben válassza az Áttekintés>törlése lehetőséget.

3. Amikor megnyílik a megerősítést kérő mező, adja meg a tanúsítvány nevét, és válassza az OK gombot.

Gyakori kérdések

Az App Service-tanúsítványomnak nincs értéke a Key Vaultban

Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra. Kulcstartó-titkos kódként egy címkét Initialize tart fenn, és értéke és tartalomtípusa üres marad. A tartomány tulajdonjogának megerősítésekor a kulcstartó titkos kódja egy értéket és egy tartalomtípust jelenít meg, a címke pedig a következőre Readyváltozik: .

Nem tudom exportálni az App Service-tanúsítványomat a PowerShell használatával

Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra.

Milyen módosításokat hajt végre az App Service-tanúsítványlétrehozás folyamata a meglévő Key Vaulton?

A létrehozási folyamat a következő módosításokat hajtja végre:

• Két hozzáférési szabályzatot ad hozzá a tárolóhoz:
  • Microsoft.Azure.WebSites (vagy Microsoft Azure App Service)
  • Microsoft-tanúsítvány viszonteladói CSM-erőforrás-szolgáltató (vagy Microsoft.Azure.CertificateRegistration)
• Létrehoz egy törlési zárolást a hívott tárolón, AppServiceCertificateLock amely megakadályozza a kulcstartó véletlen törlését.

További erőforrások

• Egyéni DNS-név védelme TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban
• HTTPS kényszerítése
• TLS 1.1/1.2 kényszerítése
• TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
• Gyakori kérdések : App Service-tanúsítványok