App Service-tanúsítványok vásárlása és kezelése

Ez a cikk bemutatja, hogyan hozhat létre Azure App Service-tanúsítványt, és hogyan hajthat végre olyan felügyeleti feladatokat, mint a tanúsítványok megújítása, szinkronizálása és törlése. Miután rendelkezik App Service-tanúsítvánnyal, importálhatja azt egy App Service-alkalmazásba. Az App Service-tanúsítvány egy magántanúsítvány, amelyet az Azure kezel. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.

Ha App Service-tanúsítványt vásárol az Azure-ból, az Azure a következő feladatokat kezeli:

• Kezeli a GoDaddy vásárlási folyamatát.
• Elvégzi a tanúsítvány tartományellenőrzését.
• A tanúsítványt az Azure Key Vaultban tartja karban.
• Kezeli a tanúsítványmegújítást.
• Automatikusan szinkronizálja a tanúsítványt az App Service-alkalmazások importált példányaival.

Miután feltöltött egy tanúsítványt egy alkalmazásba, a tanúsítvány egy üzembehelyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve. Belsőleg webtérnek hívják. Így a tanúsítvány más alkalmazások számára is elérhető ugyanabban az erőforráscsoportban és régiókombinációban. Az App Service-be feltöltött vagy importált tanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az appszolgáltatásokkal.

Előfeltételek

• App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. A szint frissítéséhez lásd: Alkalmazás skálázása.

Az App Service-tanúsítványok jelenleg nem támogatottak az Azure nemzeti felhőiben.

App Service-tanúsítvány vásárlása és konfigurálása

A tanúsítvány megvásárlása

1. Nyissa meg az App Service-tanúsítvány létrehozása lapot a vásárlás elindításához.

   Feljegyzés

   A GoDaddy kiadja az Azure-ból vásárolt App Service-tanúsítványokat. Egyes tartományok esetében explicit módon engedélyeznie kell a GoDaddyt tanúsítványkibocsátóként, ha létrehoz egy hitelesítésszolgáltatói engedélyezési tartományrekordot az értékkel 0 issue godaddy.com.

   

2. A tanúsítvány konfigurálásához használja az alábbi táblázatot. Ha végzett, válassza a Véleményezés + Létrehozás, majd a Létrehozás lehetőséget.

   Beállítás	Leírás
   Előfizetés	A tanúsítványhoz társítandó Azure-előfizetés.
   Erőforráscsoport	A tanúsítványt tartalmazó erőforráscsoport. Létrehozhat egy új erőforráscsoportot, vagy kiválaszthatja ugyanazt az erőforráscsoportot, mint az App Service-alkalmazás.
   Termékváltozat	Meghatározza a létrehozandó tanúsítvány típusát, akár standard, akár helyettesítő tanúsítványt.
   Meztelen tartomány állomásneve	Adja meg a gyökértartományt. A kibocsátott tanúsítvány a gyökértartomány és az altartomány számára www biztonságot nyújt. A kiadott tanúsítványban a Common Name mező adja meg a gyökértartományt. A Tulajdonos alternatív neve mező megadja a tartományt www . Ha csak egy altartomány biztonságát szeretné biztosítani, adja meg az altartomány teljes tartománynevét, például mysubdomain.contoso.com.
   Tanúsítvány neve	Az App Service-tanúsítvány rövid neve.
   Automatikus megújítás engedélyezése	Adja meg, hogy a tanúsítványt a lejárat előtt automatikusan megújítja-e. Minden megújítás egy évvel meghosszabbítja a tanúsítvány lejáratát. A költségek az előfizetést terhelik.

3. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.

A tanúsítvány tárolása az Azure Key Vaultban

A Key Vault egy Azure-szolgáltatás, amely segít megvédeni a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és titkos kulcsokat. App Service-tanúsítványok esetén javasoljuk, hogy a Key Vaultot használja. A tanúsítványvásárlási folyamat befejezése után még néhány lépést el kell végeznie, mielőtt elkezdené használni a tanúsítványt.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A tanúsítványpanelen válassza a Tanúsítványkonfiguráció>1. lépése: Tárolás lehetőséget.

   

2. A Key Vault állapotlapján válassza a Kiválasztás lehetőséget a Key Vaultból.

3. Ha új tárolót hoz létre, állítsa be a tárolót az alábbi táblázat alapján. Ügyeljen arra, hogy ugyanazt az előfizetést és erőforráscsoportot használja, mint az App Service-alkalmazás.

   Beállítás	Leírás
   Erőforráscsoport	Ajánlott: Ugyanaz az erőforráscsoport, mint az App Service-tanúsítvány.
   Kulcstartó neve	Egyedi név, amely csak alfanumerikus karaktereket és kötőjeleket használ.
   Régió	Ugyanaz a hely, mint az App Service-alkalmazás.
   Tarifacsomag	További információt az Azure Key Vault díjszabási részleteiben talál.
   Törölt tárolók megőrzésének napjai	A törlés után az objektumok hány napig maradnak helyreállíthatók. (Lásd: Az Azure Key Vault helyreállítható törlési áttekintése.) Adjon meg 7 és 90 közötti értéket.
   Törlés elleni védelem	A beállítás engedélyezésével az összes törölt objektum helyreállíthatóan törölt állapotban marad a megőrzési időszak teljes időtartama alatt.

4. Válassza a Tovább lehetőséget, majd válassza a Tároló hozzáférési szabályzatát. Az App Service-tanúsítványok jelenleg csak a Key Vault hozzáférési szabályzatait támogatják, a szerepköralapú hozzáférés-vezérlési modellt nem.

5. Válassza az Áttekintés + létrehozás lehetőséget, majd a Létrehozás-t.

6. A kulcstartó létrehozása után ne válassza az Erőforrás megnyitása lehetőséget. Várjon, amíg a Válassza a Key Vaultot az Azure Key Vaultból oldal újra betöltődik.

7. Válassza a -t vagy jelölje ki a-et.

8. A tároló kiválasztása után zárja be a Key Vault Adattár oldalát. Az 1. lépés: Az Áruház beállításnak zöld pipát kell mutatnia a sikeresség jelzéséhez. Tartsa nyitva az oldalt a következő lépéshez.

Domain tulajdonjogának megerősítése

1. Ugyanazon a tanúsítványkonfigurációs lapon, mint az előző szakaszban, válassza a 2. lépés: Ellenőrzés lehetőséget.

   

2. Válassza az App Service-ellenőrzés lehetőséget. Mivel ebben a szakaszban korábban hozzárendelte a domaint a webalkalmazáshoz, a domain már ellenőrizve lett. A lépés befejezéséhez válassza az Ellenőrzés lehetőséget, majd válassza a Frissítés lehetőséget, amíg meg nem jelenik a Tanúsítvány tartománya ellenőrzött üzenet.

A következő tartomány-ellenőrzési módszerek támogatottak:

Metódus	Leírás
App Service-ellenőrzés	A legkényelmesebb választás, ha a tartomány már hozzá van rendelve egy App Service-alkalmazáshoz ugyanabban az előfizetésben, mivel az App Service-alkalmazás ellenőrizte a tartomány tulajdonjogát. Tekintse át a domainnév tulajdonjogának megerősítése utolsó lépését.
Tartomány-ellenőrzés	Erősítse meg az Azure-ból vásárolt App Service-tartományt. Az Azure automatikusan hozzáadja Önnek az ellenőrző TXT rekordot, és befejezi a folyamatot.
E-mail-ellenőrzés	A tartomány megerősítéséhez küldjön e-mailt a tartományi rendszergazdának. A beállítás kiválasztásakor utasítások jelennek meg.
Manuális ellenőrzés	Erősítse meg a tartományt egy DNS TXT rekord vagy egy HTML-oldal használatával. (Ez utóbbi csak a standard tanúsítványokra vonatkozik. Lásd a következő megjegyzést.) A lépések a beállítás kiválasztása után lesznek megadva. A HTML-oldal beállítás nem működik HTTPS-korlátozott módot engedélyező webalkalmazások esetében. A DNS TXT rekordon keresztüli tartományellenőrzéshez a gyökértartomány (például contoso.com) vagy az altartomány (például vagy www.contoso.com) esetében, test.api.contoso.com és a tanúsítvány termékváltozatától függetlenül hozzá kell adnia egy TXT rekordot a gyökértartomány szintjén. Használja @ a DNS-rekordban szereplő érték nevét és tartomány-ellenőrzési jogkivonatát.

Fontos

A Standard tanúsítvánnyal tanúsítványt kap a kért legfelső szintű tartományhoz és az www altartományhoz, például contoso.com és www.contoso.com. Az App Service-ellenőrzés és a manuális ellenőrzés egyaránt HTML-oldalhitelesítést használ, amely nem támogatja az www altartományt tanúsítvány kiállítása, újrakulcsolása vagy megújítása esetén. A Standard tanúsítvány esetében a tartomány-ellenőrzés és az e-mail-ellenőrzés használatával vegye fel az www altartományt a kért legfelső szintű tartományra a tanúsítványban.

A tanúsítvány tartományigazolása után importálhatja azt egy App Service-alkalmazásba.

App Service-tanúsítvány megújítása

Az App Service-tanúsítványok alapértelmezés szerint egyéves érvényességi idővel rendelkeznek. A lejárati dátum előtt automatikusan vagy manuálisan is megújíthatja az App Service-tanúsítványokat egyéves lépésekben. A megújítási folyamat hatékonyan biztosít egy új App Service-tanúsítványt, amelynek lejárati dátuma a meglévő tanúsítvány lejárati dátumától számított egy évre kerül meghosszabbításra.

2021. szeptember 23-tól kezdve, ha az elmúlt 395 napban nem igazolta a domaint, az App Service-tanúsítványok megújítás, automatikus megújítás vagy újrakulcsolás során domainellenőrzést igényelnek. Az új tanúsítványrendelés az automatikus megújítás, a megújítás vagy az újrakulcsolási folyamat során függőben lévő kiállítási módban marad, amíg be nem fejezed a tartomány-ellenőrzést.

Az ingyenes App Service által felügyelt tanúsítvánnyal ellentétben a megvásárolt App Service-tanúsítványok nem rendelkeznek automatikus tartomány-újraértékeléssel. A domain tulajdonjogának igazolásának hiánya sikertelen megújításokat eredményez. Az App Service-tanúsítvány ellenőrzéséről további információt a Tartománytulajdonjog megerősítése című témakörben talál.

A megújítási folyamat megköveteli, hogy az App Service szolgáltatás számára kijelölt biztonsági főnök rendelkezzen a szükséges engedélyekkel a kulcstartóján. Ezek az engedélyek az App Service-tanúsítvány Azure Portalon keresztüli importálásakor vannak beállítva. Győződjön meg arról, hogy ezeket az engedélyeket nem távolítja el a kulcstárból.

1. Az App Service-tanúsítvány automatikus megújítási beállításának bármikori módosításához az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali panelen válassza az Automatikus megújítás beállításai lehetőséget.

3. Válassza a Be vagy Ki opciót, majd válassza a Mentés opciót.

   Ha bekapcsolja az automatikus megújítást, a tanúsítványok a lejárat előtt 32 nappal automatikusan megújulhatnak.

   

4. A tanúsítvány manuális megújításához válassza a Manuális megújítás lehetőséget. A tanúsítvány manuális megújítását a lejárat előtt 60 nappal kérheti, de a tanúsítványok 397 napnál hosszabb ideig nem állíthatók ki.

5. A megújítási művelet befejezése után válassza a Szinkronizálás lehetőséget.

   A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.

   Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

App Service-tanúsítvány kulcsának ismételt megadása

Ha úgy véli, hogy a tanúsítvány titkos kulcsa sérült, újrakulcsolt tanúsítványt használhat. Ez a művelet elforgatja a tanúsítványt a hitelesítésszolgáltatótól kiadott új tanúsítvánnyal.

2021. szeptember 23-tól kezdve, ha az elmúlt 395 napban nem igazolta a domaint, az App Service-tanúsítványok megújítás, automatikus megújítás vagy újrakulcsolás során domainellenőrzést igényelnek. Az új tanúsítványrendelés az automatikus megújítás, a megújítás vagy az újrakulcsolási folyamat során függőben lévő kiállítási módban marad, amíg be nem fejezed a tartomány-ellenőrzést.

Az ingyenes App Service által felügyelt tanúsítvánnyal ellentétben a megvásárolt App Service-tanúsítványok nem rendelkeznek automatikus tartomány-újraértékeléssel. A domain tulajdonjogának igazolásának hiánya sikertelen megújításokat eredményez. Az App Service-tanúsítvány ellenőrzéséről további információt a Tartománytulajdonjog megerősítése című témakörben talál.

Az újrakulcsozási folyamathoz az App Service szolgáltatási főazonosítójának rendelkeznie kell a kulcstartóra vonatkozó szükséges engedélyekkel. Ezek az engedélyek az App Service-tanúsítvány Azure Portalon keresztüli importálásakor vannak beállítva. Győződjön meg arról, hogy ezeket az engedélyeket nem távolítja el a kulcstárból.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A bal oldali panelen válassza az Újrakulcs és a Szinkronizálás lehetőséget.

2. A folyamat elindításához válassza az Újrakulcs lehetőséget. Ez a folyamat 1–10 percet is igénybe vehet.

   

3. Előfordulhat, hogy újra meg kell erősítenie a tartomány tulajdonjogát.

4. Az újrakulcsosítási művelet befejezése után válassza a Szinkronizálás lehetőséget.

   A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.

   Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

App Service-tanúsítvány exportálása

Mivel az App Service-tanúsítvány egy Key Vault-titkos kód, exportálhat egy másolatot .pfx fájlként, amelyet más Azure-szolgáltatásokhoz vagy az Azure-on kívül is használhat.

Az exportált tanúsítvány felügyelet nélküli elem. Az App Service nem szinkronizálja az ilyen összetevőket az App Service-tanúsítvány megújításakor. Szükség esetén exportálnia és telepítenie kell a megújított tanúsítványt.

Azure Portal

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali panelen válassza a Tanúsítvány exportálása lehetőséget.

3. Válassza a Key Vault titkos kulcsának megnyitása lehetőséget.

4. Válassza ki a tanúsítvány aktuális verzióját.

5. Válassza a Letöltés tanúsítványként lehetőséget.

Azure CLI

Futtassa a következő parancsokat az Azure Cloud Shellben, vagy futtassa őket helyileg, ha telepítette az Azure CLI-t. Cserélje le a helyőrzőket az App Service-tanúsítvány megvásárlásakor használt nevekre.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

A letöltött .pfx fájl egy nyers PKCS12-fájl, amely mind a nyilvános, mind a magántanúsítványokat tartalmazza, és egy üres sztringet tartalmazó importálási jelszóval rendelkezik. A fájlt helyileg telepítheti úgy, hogy üresen hagyja a jelszómezőt. A fájlt nem töltheti fel az App Service-be, mert a fájl nem jelszóval védett.

Az Azure Advisor for App Service-tanúsítványok használata

Az App Service-tanúsítvány integrálva van az Azure Advisornal , hogy megbízhatósági javaslatokat nyújtson arra az esetben, ha a tanúsítvány tartományellenőrzést igényel. Ha az elmúlt 395 napban nem ellenőrizte a tartományt, a megújítás, az automatikus helyreállítás vagy az újrakulcsolás során ellenőriznie kell a tanúsítvány tulajdonjogát. Annak érdekében, hogy ne maradjon le az olyan tanúsítványokról, amelyek hitelesítést igényelnek, vagy nem kockáztatják a tanúsítványok lejáratát, használja az Advisort az App Service-tanúsítványra vonatkozó riasztások megtekintéséhez és beállításához.

Advisor-javaslatok megtekintése

Az App Service-tanúsítványra vonatkozó Advisor-javaslatok megtekintése:

1. Lépjen az Azure Advisor lapra.

2. A bal oldali panelen válassza a Javaslatok>megbízhatósága lehetőséget.

3. Válassza a Type equals szűrőbeállítást , és keresse meg az App Service-tanúsítványokat a legördülő listában. Ha az érték nem szerepel a legördülő listában, az azt jelenti, hogy nem jött létre javaslat az App Service-tanúsítvány erőforrásaihoz, mert egyik sem igényel tartomány tulajdonjogának ellenőrzését.

Advisor-riasztások létrehozása

Az új javaslatokra vonatkozó Advisor-riasztásokat különböző konfigurációk használatával hozhat létre. Ha az Advisor-riasztásokat kifejezetten egy App Service-tanúsítványhoz szeretné beállítani, hogy értesítéseket kapjon, amikor a tanúsítvány tartomány tulajdonjogának érvényesítését igényli:

1. Lépjen az Azure Advisor lapra.

2. A bal oldali panelen válassza a Figyelési>riasztások (előzetes verzió) lehetőséget.

3. Válassza a +New Advisor Alert (Új tanácsadó riasztása ) lehetőséget a felső sávon az Advisor-riasztások létrehozása panel megnyitásához.

4. A Feltétel csoportban válassza a következő lehetőséget:

   Konfigurálta:	Javaslat típusa
   Javaslat típusa	Az App Service-tanúsítvány kiállításához tartomány-ellenőrzés szükséges.

5. Töltse ki a többi kötelező mezőt, majd válassza a Riasztás létrehozása lehetőséget.

App Service-tanúsítvány törlése

Ha töröl egy App Service-tanúsítványt, a törlési művelet visszavonhatatlan és végleges. Az eredmény egy visszavont tanúsítvány. Az App Service-ben a tanúsítványt használó kötések érvénytelenek lesznek.

1. Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.

2. A bal oldali panelen válassza az Áttekintés>törlése lehetőséget.

3. Amikor megnyílik a megerősítést kérő mező, adja meg a tanúsítvány nevét, majd kattintson az OK gombra.

Gyakori kérdések

Miért nincs érték a Key Vaultban tárolt App Service-tanúsítványban?

Az App Service tanúsítványa valószínűleg még nem lett igazolva a tartomány által. A domain tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra. Kulcstartó-titkos kódként egy címkét Initialize tart fenn, és értéke és tartalomtípusa üres marad. Amikor a tartomány tulajdonjoga megerősítést nyer, a kulcstartó titok értéket és tartalomtípust jelenít meg, és a címke Ready-ra változik.

Miért nem tudom exportálni az App Service-tanúsítványomat a PowerShell-lel?

Az App Service tanúsítványa valószínűleg még nem lett igazolva a tartomány által. A domain tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra.

Milyen módosításokat hajt végre az App Service-tanúsítványlétrehozás folyamata a meglévő kulcstartón?

A létrehozási folyamat a következő módosításokat hajtja végre:

• Két hozzáférési szabályzatot ad hozzá a tárolóhoz:
  • Microsoft Azure App Service (vagy Microsoft.Azure.WebSites)
  • Microsoft-tanúsítvány viszonteladói CSM-erőforrás-szolgáltató (vagy Microsoft.Azure.CertificateRegistration)
• Létrehoz egy törlési zárolást a tárolón AppServiceCertificateLock, hogy megakadályozza a kulcstár véletlen törlését.

Kapcsolódó tartalom

• Egyéni DNS-név védelme TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban
• HTTPS kényszerítése
• TLS 1.1/1.2 kényszerítése
• TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
• Gyakori kérdések az erőforrások Azure-alkalmazás szolgáltatásban való létrehozásával vagy törlésével kapcsolatban