App Service-tanúsítvány létrehozása és kezelése a webalkalmazáshoz
Ez a cikk bemutatja, hogyan hozhat létre App Service-tanúsítványokat, és hogyan hajthat végre olyan felügyeleti feladatokat, mint a tanúsítványok megújítása, szinkronizálása és törlése. Miután megkapta az App Service-tanúsítványt, importálhatja azt egy App Service-alkalmazásba. Az App Service-tanúsítvány az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.
Ha App Service-tanúsítványt vásárol az Azure-ból, az Azure a következő feladatokat kezeli:
- Kezeli a GoDaddy vásárlási folyamatát.
- Elvégzi a tanúsítvány tartományellenőrzését.
- A tanúsítványt az Azure Key Vaultban tartja karban.
- Kezeli a tanúsítványmegújítást.
- Automatikusan szinkronizálja a tanúsítványt az App Service-alkalmazások importált példányaival.
Feljegyzés
Miután feltöltött egy tanúsítványt egy alkalmazásba, a tanúsítvány egy üzembehelyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, belsőleg webtérnek nevezve. Így a tanúsítvány más alkalmazások számára is elérhető ugyanabban az erőforráscsoportban és régiókombinációban. Az App Service-be feltöltött vagy importált tanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.
Előfeltételek
- App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. Lásd: Alkalmazás vertikális felskálázása a szint frissítéséhez.
Feljegyzés
Az App Service-tanúsítványok jelenleg nem támogatottak az Azure nemzeti felhőiben.
App Service-tanúsítvány vásárlása és konfigurálása
A tanúsítvány megvásárlása
Nyissa meg az App Service-tanúsítvány létrehozása lapot a vásárlás elindításához.
Feljegyzés
Az Azure-ból vásárolt App Service-tanúsítványokat a GoDaddy állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a GoDaddyt tanúsítványkibocsátóként, ha létrehoz egy CAA-tartományrekordot az értékkel
0 issue godaddy.com
.A tanúsítvány konfigurálásához használja az alábbi táblázatot. Ha elkészült, válassza a Véleményezés + Létrehozás, majd a Létrehozás lehetőséget.
Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget.
A tanúsítvány tárolása az Azure Key Vaultban
A Key Vault egy Azure-szolgáltatás, amely segít megvédeni a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és titkos kulcsokat. App Service-tanúsítványok esetén javasoljuk, hogy a Key Vaultot használja. A tanúsítványvásárlási folyamat befejezése után még néhány lépést el kell végeznie, mielőtt elkezdené használni a tanúsítványt.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A tanúsítványmenüben válassza a Tanúsítványkonfiguráció>1. lépése: Tárolás lehetőséget.
A Key Vault állapotlapján válassza a Kiválasztás lehetőséget a Key Vaultból.
Ha új tárolót hoz létre, állítsa be a tárolót az alábbi táblázat alapján, és győződjön meg arról, hogy ugyanazt az előfizetést és erőforráscsoportot használja, mint az App Service-alkalmazás.
Beállítás Leírás Erőforráscsoport Ajánlott: Ugyanaz az erőforráscsoport, mint az App Service-tanúsítvány. Kulcstartó neve Egyedi név, amely csak alfanumerikus karaktereket és kötőjeleket használ. Régió Ugyanaz a hely, mint az App Service-alkalmazás. Tarifacsomag További információt az Azure Key Vault díjszabási részleteiben talál. Törölt tárolók megőrzésének napjai Az objektumok helyreállíthatóak maradnak a törlést követő napok száma. (Lásd: Az Azure Key Vault helyreállítható törlési áttekintése.) Adjon meg 7 és 90 közötti értéket. Törlés elleni védelem A beállítás engedélyezésével az összes törölt objektum helyreállíthatóan törölt állapotban marad a megőrzési időszak teljes időtartama alatt. Válassza a Tovább lehetőséget, majd válassza a Tároló hozzáférési szabályzatát. Az App Service-tanúsítványok jelenleg csak a Key Vault hozzáférési szabályzatait támogatják, az RBAC-modellt nem.
Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
A kulcstartó létrehozása után ne válassza az Erőforrás megnyitása lehetőséget. Várja meg, amíg a Key Vault kiválasztása az Azure Key Vault oldalról újra betöltődik.
Válassza a lehetőséget.
A tároló kiválasztása után zárja be a Key Vault Adattár oldalát. Az 1. lépés: Az Áruház beállításnak zöld pipát kell mutatnia a sikeresség jelzéséhez. Tartsa nyitva az oldalt a következő lépéshez.
Tartomány tulajdonjogának megerősítése
Az előző szakaszhoz hasonló tanúsítványkonfigurációs lapon válassza a 2. lépés: Ellenőrzés lehetőséget.
Válassza az App Service-ellenőrzés lehetőséget. Mivel a tartományt a jelen szakasz korábbi szakaszában a webalkalmazásra képezte le, a tartomány már ellenőrizve van. A lépés befejezéséhez válassza az Ellenőrzés, majd a Frissítés lehetőséget, amíg meg nem jelenik a Tanúsítvány domain Verified üzenet.
A következő tartomány-ellenőrzési módszerek támogatottak:
Metódus | Leírás |
---|---|
App Service-ellenőrzés | A legkényelmesebb megoldás, ha a tartomány már le van képezve egy App Service-alkalmazásra ugyanabban az előfizetésben, mert az App Service-alkalmazás már ellenőrizte a tartomány tulajdonjogát. Tekintse át a tartomány tulajdonjogának megerősítése utolsó lépését. |
Tartomány-ellenőrzés | Erősítse meg az Azure-ból vásárolt App Service-tartományt. Az Azure automatikusan hozzáadja Önnek az ellenőrző TXT rekordot, és elvégzi a folyamatot. |
E-mail-ellenőrzés | A tartomány megerősítéséhez küldjön e-mailt a tartományi rendszergazdának. A beállítás kiválasztásakor utasítások jelennek meg. |
Manuális ellenőrzés | Erősítse meg a tartományt DNS TXT rekord vagy HTML-oldal használatával. (Ez utóbbi csak a standard tanúsítványokra vonatkozik. Lásd a következő megjegyzést.) A lépések a beállítás kiválasztása után lesznek megadva. A HTML-lap beállítás nem működik a csak HTTPS-kompatibilis webalkalmazások esetében. A DNS TXT rekordon keresztüli tartomány-ellenőrzéshez a gyökértartományhoz (például contoso.com ) vagy az altartományhoz (például www.contoso.com vagy test.api.contoso.com ) és a tanúsítvány termékváltozatától függetlenül hozzá kell adnia egy TXT rekordot a gyökértartomány szintjén, a DNS-rekordban szereplő érték nevének és tartomány-ellenőrzési jogkivonatának használatával @ . |
Fontos
A Standard tanúsítvánnyal tanúsítványt kap a kért legfelső szintű tartományhoz és az www
altartományhoz, például contoso.com
és www.contoso.com
. Az App Service-ellenőrzés és a manuális ellenőrzés azonban HTML-oldalellenőrzést használ, amely nem támogatja az www
altartományt tanúsítvány kiadása, újrakulcsolása vagy megújítása esetén. A Standard tanúsítvány esetében a Tartomány-ellenőrzés és a Levelezés-ellenőrzés használatával vegye fel az www
altartományt a kért legfelső szintű tartományra a tanúsítványban.
A tanúsítvány tartományigazolása után készen áll arra, hogy importálja azt egy App Service-alkalmazásba.
App Service-tanúsítvány megújítása
Az App Service-tanúsítványok alapértelmezés szerint egyéves érvényességi idővel rendelkeznek. A lejárati dátum előtt automatikusan vagy manuálisan is megújíthatja az App Service-tanúsítványokat egyéves lépésekben. A megújítási folyamat hatékonyan biztosít egy új App Service-tanúsítványt, amelynek lejárati dátuma a meglévő tanúsítvány lejárati dátumától számított egy évre kerül meghosszabbításra.
Feljegyzés
2021. szeptember 23-tól, ha az elmúlt 395 napban nem ellenőrizte a tartományt, az App Service-tanúsítványok tartomány-ellenőrzést igényelnek a megújítási vagy újrakulcsolási folyamat során. Az új tanúsítványrendelés "függőben lévő kiállítás" módban marad a megújítási vagy újrakulcsolási folyamat során, amíg el nem végzi a tartomány-ellenőrzést.
Az ingyenes App Service által felügyelt tanúsítvánnyal ellentétben a megvásárolt App Service-tanúsítványok nem rendelkeznek automatikus tartomány-újraellenőrzéssel. A tartomány tulajdonjogának ellenőrzése sikertelen megújítást eredményez. Az App Service-tanúsítvány ellenőrzéséről további információt a Tartomány tulajdonjogának megerősítése című témakörben talál.
A megújítási folyamat megköveteli, hogy az App Service szolgáltatásnév rendelkezik a kulcstartóhoz szükséges engedélyekkel. Ezek az engedélyek az App Service-tanúsítvány Azure Portalon keresztüli importálásakor vannak beállítva. Győződjön meg arról, hogy ezeket az engedélyeket nem távolítja el a kulcstartóból.
Az App Service-tanúsítvány automatikus megújítási beállításának bármikori módosításához az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza az Automatikus megújítás beállításai lehetőséget.
Válassza a Be vagy Ki, majd a Mentés lehetőséget.
Ha bekapcsolja az automatikus megújítást, a tanúsítványok a lejárat előtt 32 nappal automatikusan megújulhatnak.
A tanúsítvány manuális megújításához válassza a Manuális megújítás lehetőséget. A tanúsítvány manuális megújítását a lejárat előtt 60 nappal kérheti, de a tanúsítványok 397 napnál hosszabb ideig nem állíthatók ki.
A megújítási művelet befejezése után válassza a Szinkronizálás lehetőséget.
A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.
Feljegyzés
Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.
App Service-tanúsítvány kulcsának ismételt megadása
Ha úgy véli, hogy a tanúsítvány titkos kulcsa sérült, újrakulcsolt tanúsítványt használhat. Ez a művelet elforgatja a tanúsítványt a hitelesítésszolgáltatótól kiadott új tanúsítvánnyal.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt. A bal oldali menüben válassza az Újrakulcs és a Szinkronizálás lehetőséget.
A folyamat elindításához válassza az Újrakulcs lehetőséget. Ez a folyamat 1-10 percet is igénybe vehet.
Előfordulhat, hogy újra meg kell erősítenie a tartomány tulajdonjogát.
Az újrakulcsosítási művelet befejezése után válassza a Szinkronizálás lehetőséget.
A szinkronizálási művelet automatikusan frissíti a tanúsítvány gazdagépnév-kötéseit az App Service-ben anélkül, hogy leállást okoz az alkalmazások számára.
Feljegyzés
Ha nem a Szinkronizálás lehetőséget választja, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.
App Service-tanúsítvány exportálása
Mivel az App Service-tanúsítvány egy Key Vault-titkos kód, exportálhat egy másolatot PFX-fájlként, amelyet más Azure-szolgáltatásokhoz vagy az Azure-on kívül is használhat.
Fontos
Az exportált tanúsítvány nem felügyelt összetevő. Az App Service nem szinkronizálja az ilyen összetevőket az App Service-tanúsítvány megújításakor. Szükség esetén exportálnia és telepítenie kell a megújított tanúsítványt.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza a Tanúsítvány exportálása lehetőséget.
Válassza a Key Vault titkos kulcsának megnyitása lehetőséget.
Válassza ki a tanúsítvány aktuális verzióját.
Válassza a Letöltés tanúsítványként lehetőséget.
A letöltött PFX-fájl egy nyers PKCS12-fájl, amely mind a nyilvános, mind a magántanúsítványokat tartalmazza, és egy üres sztringet tartalmazó importálási jelszóval rendelkezik. A fájlt helyileg telepítheti úgy, hogy üresen hagyja a jelszómezőt. Nem töltheti fel a fájlt az App Service-be , mert a fájl nem jelszóval védett.
App Service-tanúsítvány törlése
Ha töröl egy App Service-tanúsítványt, a törlési művelet visszavonhatatlan és végleges. Az eredmény egy visszavont tanúsítvány, és az App Service-ben a tanúsítványt használó kötések érvénytelenek lesznek.
Az App Service-tanúsítványok lapon válassza ki a tanúsítványt.
A bal oldali menüben válassza az Áttekintés>törlése lehetőséget.
Amikor megnyílik a megerősítést kérő mező, adja meg a tanúsítvány nevét, majd kattintson az OK gombra.
Gyakori kérdések
Az App Service-tanúsítványomnak nincs értéke a Key Vaultban
Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra. Key Vault-titkos kódként egy címkét Initialize
tart fenn, és értéke és tartalomtípusa üres marad. A tartomány tulajdonjogának megerősítésekor a kulcstartó titkos kódja egy értéket és egy tartalomtípust jelenít meg, a címke pedig a következőre Ready
változik: .
Nem tudom exportálni az App Service-tanúsítványomat a PowerShell használatával
Az App Service-tanúsítvány valószínűleg még nem ellenőrzött tartományon. A tartomány tulajdonjogának megerősítéséig az App Service-tanúsítvány nem áll készen a használatra.
Milyen módosításokat hajt végre az App Service-tanúsítványlétrehozás folyamata a meglévő kulcstartón?
A létrehozási folyamat a következő módosításokat hajtja végre:
- Két hozzáférési szabályzatot ad hozzá a tárolóhoz:
- Microsoft.Azure.WebSites (vagy
Microsoft Azure App Service
) - Microsoft-tanúsítvány viszonteladói CSM-erőforrás-szolgáltató (vagy
Microsoft.Azure.CertificateRegistration
)
- Microsoft.Azure.WebSites (vagy
- Létrehoz egy törlési zárolást, amely
AppServiceCertificateLock
meghívja a tárolót, hogy megakadályozza a kulcstartó véletlen törlését.
Kapcsolódó tartalom
- Egyéni DNS-név védelme TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban
- HTTPS kényszerítése
- TLS 1.1/1.2 kényszerítése
- TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
- Gyakori kérdések az erőforrások Azure-alkalmazás szolgáltatásban való létrehozásával vagy törlésével kapcsolatban