TLS/SSL-tanúsítványok hozzáadása és kezelése Azure-alkalmazás szolgáltatásban

Feljegyzés

2024. június 1-jétől az új App Service-alkalmazások kialakíthatnak egyedi alapértelmezett gazdagépnevet, amely az <app-name>-<random-hash>.<region>.azurewebsites.net elnevezési konvenciót használja. Például: myapp-ds27dh7271aah175.westus-01.azurewebsites.net. A meglévő alkalmazásnevek változatlanok maradnak.

További információért tekintse meg a #B0 blogbejegyzést egy egyedi alapértelmezés szerinti gazdagépnévvel rendelkező webalkalmazás létrehozásáról #A1.

Hozzáadhat digitális biztonsági tanúsítványokat az alkalmazáskódban való használatra, vagy az egyéni DNS-nevek biztonságossá tételéhez a Azure-alkalmazás Szolgáltatásban, amely nagymértékben méretezhető, önjavító web hosting szolgáltatást biztosít. A jelenleg Transport Layer Security (TLS) tanúsítványok, más néven a Secure Socket Layer (SSL) tanúsítványok, ezek a privát vagy nyilvános tanúsítványok segítenek az internetkapcsolatok védelmében a böngésző, a meglátogatott webhelyek és a webhelykiszolgáló között küldött adatok titkosításával.

Az alábbi táblázat felsorolja a tanúsítványok App Service-ben való hozzáadásának lehetőségeit:

Lehetőség	Leírás
Ingyenes, felügyelt App Service-tanúsítvány létrehozása	Ingyenes, könnyen használható magántanúsítvány, amely ideális a biztonság javításához, ha az egyéni tartományát az App Service-ben szeretné védeni.
App Service-tanúsítvány importálása	Az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.
Tanúsítvány importálása a Key Vaultból	Hasznos, ha az Azure Key Vault használatával kezeli a PKCS12-tanúsítványokat. Lásd a magántanúsítvány követelményeit.
Magántanúsítvány feltöltése	Ha már rendelkezik egy külső szolgáltatótól származó magántanúsítvánnyal, feltöltheti azt. Lásd a magántanúsítvány követelményeit.
Nyilvános tanúsítvány feltöltése	A nyilvános tanúsítványok nem az egyéni tartományok védelmére szolgálnak, de betöltheti őket a kódba, ha szüksége van rájuk a távoli erőforrások eléréséhez.

Előfeltételek

• App Service-alkalmazás létrehozása. Az alkalmazás App Service-csomagjának alapszintű, standard, prémium vagy izolált szinten kell lennie. Lásd: Alkalmazás vertikális felskálázása a szint frissítéséhez.

• Magántanúsítvány esetén győződjön meg arról, hogy megfelel az App Service minden követelményének.

• Csak ingyenes tanúsítvány:

  • Képezheti le azt a tartományt, ahol a tanúsítványt az App Service-be szeretné helyezni. További információ: Oktatóanyag: Meglévő egyéni DNS-név leképezése Azure-alkalmazás szolgáltatásra.

  • Gyökértartomány (például contoso.com) esetén győződjön meg arról, hogy az alkalmazás nem rendelkezik ip-korlátozásokkal . A tanúsítványlétrehozás és a gyökértartomány rendszeres megújítása attól függ, hogy az alkalmazás elérhető-e az internetről.

Magántanúsítvány-követelmények

Az ingyenes App Service által felügyelt tanúsítvány és az App Service-tanúsítvány már megfelel az App Service követelményeinek. Ha magántanúsítványt szeretne feltölteni vagy importálni az App Service-be, a tanúsítványnak meg kell felelnie az alábbi követelményeknek:

• Jelszóval védett PFX-fájlként exportálva, tripla DES használatával titkosítva
• Legalább 2048 bit hosszúságú titkos kulcsot kell tartalmaznia.
• Tartalmazza az összes köztes tanúsítványt és a főtanúsítványt a tanúsítványláncban

Ha szeretne segíteni egy egyéni tartomány biztonságossá tételében egy TLS-kötésben, a tanúsítványnak meg kell felelnie az alábbi további követelményeknek:

• Bővített kulcshasználatot tartalmaz a kiszolgálóhitelesítéshez (OID = 1.3.6.1.5.5.7.3.1)
• A tanúsítványt megbízható hitelesítésszolgáltatónak kell aláírnia.

Megjegyzés

Az elliptikus görbe titkosítási (ECC) tanúsítványai az App Service-vel működnek, de ez a cikk nem foglalkozik velük. Az ECC-tanúsítványok létrehozásának pontos lépéseit a hitelesítésszolgáltatóval együttműködve végezheti el.

Megjegyzés

Miután hozzáadott egy magántanúsítványt egy alkalmazáshoz, a tanúsítvány egy üzembe helyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, amelyet belsőleg webtérnek neveznek. Így a tanúsítvány elérhető az ugyanazon erőforráscsoportban, régióban és operációsrendszer-kombinációban lévő többi alkalmazás számára. Az App Service-be feltöltött vagy importált magántanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.

Webtérenként legfeljebb 1000 privát tanúsítványt adhat hozzá.

Ingyenes felügyelt tanúsítvány létrehozása

Az ingyenes App Service által felügyelt tanúsítvány kulcsrakész megoldás az egyéni DNS-név védelmének biztosításához az App Service-ben. A TLS/SSL-kiszolgáló tanúsítványát az App Service teljes körűen felügyeli, és hat hónapos lépésekben, 45 nappal a lejárat előtt automatikusan megújítja, feltéve, hogy a beállított előfeltételek változatlanok maradnak. Az összes társított kapcsolat frissül a megújított tanúsítvánnyal. Létrehozhatja és egy egyéni tartományhoz kötheti a tanúsítványt, és hagyja, hogy az App Service végezze el a többit.

Fontos

Mielőtt ingyenes felügyelt tanúsítványt hoz létre, győződjön meg arról, hogy megfelelt az alkalmazás előfeltételeinek .

Az ingyenes tanúsítványokat a DigiCert állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a DigiCert tanúsítványkibocsátóként egy CAA-tartományrekord létrehozását a következő értékkel: 0 issue digicert.com.

Az Azure teljes mértékben kezeli a tanúsítványokat az Ön nevében, így a felügyelt tanúsítvány bármely aspektusa, beleértve a fő kiállítót is, bármikor változhat. A tanúsítványmegújítások mind a nyilvános, mind a titkos kulcs részeit megváltoztatják. Ezek a tanúsítványmódosítások nincsenek az ön irányítása alatt. Ügyeljen arra, hogy elkerülje a szoros függőségeket és a tanúsítványok gyakorlati kötését a felügyelt tanúsítványra vagy a tanúsítványhierarchia bármely részére. Ha a tanúsítvány rögzítési viselkedésére van szüksége, adjon hozzá egy tanúsítványt az egyéni tartományhoz a jelen cikkben szereplő bármely más elérhető módszer használatával.

Az ingyenes tanúsítványra a következő korlátozások vonatkoznak:

• Nem támogatja a helyettesítő tanúsítványokat.
• Az ügyféltanúsítványként való használatot a tanúsítvány ujjlenyomata alapján nem támogatja, tekintettel arra, hogy ezt elavulásra és eltávolításra tervezik.
• Nem támogatja a privát DNS-t.
• Nem exportálható.
• App Service-környezetben nem támogatott.
• Csak alfanumerikus karaktereket, kötőjeleket (-) és pontokat (.) támogat.
• Csak a legfeljebb 64 karakter hosszúságú egyéni tartományok támogatottak.

Gyökértartomány

• A webalkalmazás IP-címére mutató A rekordnak kell lennie.
• Nyilvánosan elérhető alkalmazásokon kell lennie.
• A Traffic Managerrel integrált gyökértartományok nem támogatottak.
• A tanúsítványok sikeres kiállításához és megújításához meg kell felelnie a fentieknek.

Altartomány

• A CNAME-nak közvetlenül <app-name>.azurewebsites.net vagy trafficmanager.net-re kell mutatnia. A köztes CNAME értékre való leképezés blokkolja a tanúsítványok kiállítását és megújítását.
• Nyilvánosan elérhető alkalmazásokon kell lennie.
• A tanúsítványok sikeres kiállításához és megújításához meg kell felelnie a fentieknek.

1. Az Azure Portal bal oldali menüjében válassza az App Services<alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok lehetőséget. A Felügyelt tanúsítványok panelen válassza a Tanúsítvány hozzáadása lehetőséget.

   

3. Válassza ki az ingyenes tanúsítványhoz tartozó egyéni tartományt, majd válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés befejeződött, válassza a Hozzáadás lehetőséget. Minden támogatott egyéni tartományhoz csak egy felügyelt tanúsítvány hozható létre.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a felügyelt tanúsítványok listájában.

   

4. Ha ezzel a tanúsítvánnyal szeretne biztonságot nyújtani egy egyéni tartomány számára, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

App Service-tanúsítvány importálása

App Service-tanúsítvány importálásához először vásároljon és konfiguráljon egy App Service-tanúsítványt, majd kövesse az alábbi lépéseket.

1. Az Azure Portal bal oldali menüjében válassza az App Services<alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza >>Tanúsítvány hozzáadása lehetőséget.

3. A Forrás területen válassza az App Service-tanúsítvány importálása lehetőséget.

4. Az App Service-tanúsítványban válassza ki az imént létrehozott tanúsítványt.

5. A Tanúsítványbarát névben adjon nevet a tanúsítványnak az alkalmazásban.

6. Válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés sikeres, válassza a Hozzáadás lehetőséget.

   

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

   

7. Ahhoz, hogy ezzel a tanúsítvánnyal biztonságossá tegye az egyéni tartományt, még létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Tanúsítvány importálása a Key Vaultból

Ha az Azure Key Vault használatával kezeli a tanúsítványokat, importálhat egy PKCS12-tanúsítványt az App Service-be a Key Vaultból, ha megfelel a követelményeknek.

Engedélyezze az App Service-nek, hogy olvasson a tárolóból.

Alapértelmezés szerint az App Service erőforrás-szolgáltató nem rendelkezik hozzáféréssel a kulcstárhoz. A kulcstartó tanúsítványtelepítéshez való használatához engedélyeznie kell az erőforrás-szolgáltató (App Service) olvasási hozzáférését a kulcstartóhoz. Hozzáférési szabályzattal vagy RBAC-vel is megadhat hozzáférést.

RBAC engedélyek

Erőforrás-szolgáltató	Szolgáltatási főszereplő alkalmazásazonosító / hozzárendelt	RBAC-szerepkör a Key Vaultban
Microsoft Azure-alkalmazás Service vagy Microsoft.Azure.WebSites	- abfa0a7c-a6b6-4736-8310-5855508787cd globális Azure-felhőkörnyezethez - 6a02c803-dafd-4136-b4c3-5a6f318b4714 Azure Government felhőkörnyezethez	Tanúsítványfelhasználó

A szolgáltatási főalkalmazás azonosítója vagy a hozzárendelt érték az alkalmazásszolgáltatási erőforrás-szolgáltató azonosítója. Vegye figyelembe, hogy az RBAC-vel való hozzáférés engedélyezésekor a szolgáltatásnév alkalmazásazonosítójának megfelelő objektumazonosítója bérlőspecifikus. Ha tudni szeretné, hogyan engedélyezheti a Key Vault-engedélyeket az App Service-erőforrás-szolgáltató számára egy hozzáférési szabályzat használatával, tekintse meg a Key Vault-kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférést az Azure szerepköralapú hozzáférés-vezérlési dokumentációjában.

Hozzáférési szabályzat engedélyei

Erőforrás-szolgáltató	Szolgáltatásnév alkalmazásazonosítója	Key Vault titkos kulcsengedélyek	Key Vault-tanúsítványengedélyek
Microsoft Azure-alkalmazás Service vagy Microsoft.Azure.WebSites	- abfa0a7c-a6b6-4736-8310-5855508787cd nyilvános Azure-felhőkörnyezethez - 6a02c803-dafd-4136-b4c3-5a6f318b4714 Azure Government felhőkörnyezethez	Szerez	Beolvasás

A szolgáltatásnév alkalmazásazonosítója vagy hozzárendelt értéke az App Service-erőforrás-szolgáltató azonosítója. Ha tudni szeretné, hogyan engedélyezheti a Key Vault-engedélyeket az App Service erőforrás-szolgáltatójához hozzáférési szabályzat használatával, tekintse meg a Key Vault hozzáférési szabályzatának dokumentációját.

Feljegyzés

Ne törölje ezeket a hozzáférési házirend-engedélyeket a Key Vaultból. Ha így tesz, az App Service nem fogja tudni szinkronizálni a webalkalmazást a Key Vault legújabb tanúsítványverziójával. Ha a Key Vault úgy van konfigurálva, hogy letiltsa a nyilvános hozzáférést, győződjön meg arról, hogy Microsoft-szolgáltatások rendelkezik hozzáféréssel a "Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez" jelölőnégyzet bejelölésével. További információkért tekintse meg a Key Vault tűzfal által engedélyezett megbízható szolgáltatásainak dokumentációját.

Azure CLI

az role assignment create --role "Key Vault Certificate User" --assignee "abfa0a7c-a6b6-4736-8310-5855508787cd" --scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"

Azure PowerShell

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificate User" -ApplicationId "abfa0a7c-a6b6-4736-8310-5855508787cd" -Scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"

Feljegyzés

Ne törölje ezeket az RBAC-engedélyeket a Key Vaultból. Ha így tesz, az App Service nem fogja tudni szinkronizálni a webalkalmazást a Key Vault legújabb tanúsítványverziójával.

Tanúsítvány importálása a tárolóból az alkalmazásba

1. Az Azure Portal bal oldali menüjében válassza az App Services<alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>Saját tanúsítványok (.pfx) hozzáadása>Tanúsítvány hozzáadása lehetőséget.

3. A Forrás területen válassza az Importálás a Key Vaultból lehetőséget.

4. Válassza a Key Vault-tanúsítvány kiválasztása lehetőséget.

   

5. A tanúsítvány kiválasztásához használja az alábbi táblázatot:

   Beállítás	Leírás
   Előfizetés	A kulcstárhoz társított előfizetés.
   Key Vault	Az importálni kívánt tanúsítványt tartalmazó kulcstartó.
   Tanúsítvány	Ebben a listában válasszon ki egy, a tárolóban található PKCS12-tanúsítványt. A tárolóban található összes PKCS12-tanúsítvány az ujjlenyomatokkal együtt szerepel a listán, de az App Service nem támogatja őket.

6. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában. Ha az importálás hiba miatt meghiúsul, a tanúsítvány nem felel meg az App Service követelményeinek.

   

   Feljegyzés

   Ha új tanúsítvánnyal frissíti a tanúsítványt a Key Vaultban, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

7. Ahhoz, hogy ezzel a tanúsítvánnyal biztonságossá tegye az egyéni tartományt, még létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Magántanúsítvány feltöltése

Miután tanúsítványt kapott a tanúsítványszolgáltatótól, készítse elő a tanúsítványt az App Service-hez az ebben a szakaszban ismertetett lépések végrehajtásával.

Köztes tanúsítványok egyesítése

Ha a hitelesítésszolgáltató több tanúsítványt is biztosít a tanúsítványláncban, a tanúsítványokat azonos sorrendben kell egyesítenie.

1. Egy szövegszerkesztőben nyissa meg az egyes fogadott tanúsítványokat.

2. Az egyesített tanúsítvány tárolásához hozzon létre egy mergedcertificate.crt nevű fájlt.

3. Másolja az egyes tanúsítványok tartalmát ebbe a fájlba. Ügyeljen arra, hogy kövesse a tanúsítványlánc által megadott tanúsítványsorrendet, kezdve a saját tanúsítványával és a gyökértanúsítvánnyal végződve, például:

   -----BEGIN CERTIFICATE-----
   <your entire Base64 encoded SSL certificate>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 1>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 2>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded root certificate>
   -----END CERTIFICATE-----
   

Az egyesített magántanúsítvány exportálása a PFX-be

Most exportálja az egyesített TLS/SSL-tanúsítványt a tanúsítványkérelem létrehozásához használt titkos kulccsal. Ha az OpenSSL használatával hozta létre a tanúsítványkérelemet, létrehozott egy titkos kulcsfájlt.

Feljegyzés

Az OpenSSL v3 módosította az alapértelmezett titkosítást 3DES-ről AES256-ra, de ez felülbírálható a következő parancssorban: -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. Az OpenSSL v1 alapértelmezés szerint a 3DES-t használja, így a létrehozott PFX-fájlok speciális módosítások nélkül támogatottak.

1. A tanúsítvány PFX-fájlba való exportálásához futtassa a következő parancsot, de cserélje le a helyőrzőket <a titkos kulcs> és <az egyesített tanúsítványfájl> elérési útjára.

   openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
   

2. Amikor a rendszer kéri, adjon meg egy jelszót az exportálási művelethez. Amikor később feltölti a TLS/SSL-tanúsítványt az App Service-be, meg kell adnia ezt a jelszót.

3. Ha IIS-t vagy Certreq.exe használt a tanúsítványkérelem létrehozásához, telepítse a tanúsítványt a helyi számítógépre, majd exportálja a tanúsítványt egy PFX-fájlba.

A tanúsítvány feltöltése az App Service-be

Most már feltöltheti a tanúsítványt az App Service-be.

1. Az Azure Portal bal oldali menüjében válassza az App Services<alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza >>Tanúsítvány feltöltése lehetőséget.

   

3. A .pfx tanúsítvány feltöltéséhez használja az alábbi táblázatot:

   Beállítás	Leírás
   PFX-tanúsítványfájl	Válassza ki a .pfx fájlt.
   Tanúsítvány jelszava	Adja meg a PFX-fájl exportálásakor létrehozott jelszót.
   Tanúsítványbarát név	A webalkalmazásban megjelenő tanúsítványnév.

4. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

   Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

   

5. Ha ezzel a tanúsítvánnyal szeretne biztonságot nyújtani egy egyéni tartomány számára, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Nyilvános tanúsítvány feltöltése

A nyilvános tanúsítványok .cer formátumban támogatottak.

Feljegyzés

Miután feltöltött egy nyilvános tanúsítványt egy alkalmazásba, az csak a feltöltött alkalmazás számára érhető el. A nyilvános tanúsítványokat minden olyan webalkalmazásba fel kell tölteni, amelyhez hozzáférés szükséges. Az App Service Environment-specifikus forgatókönyvek esetében tekintse meg a tanúsítványok dokumentációját és az App Service-környezetet.

App Service-csomagonként legfeljebb 1000 nyilvános tanúsítványt tölthet fel.

1. Az Azure Portal bal oldali menüjében válassza az App Services<alkalmazásnevét.>

2. Az alkalmazás navigációs menüjében válassza a >>Tanúsítvány hozzáadása lehetőséget.

3. A .cer tanúsítvány feltöltéséhez használja az alábbi táblázatot:

   Beállítás	Leírás
   CER-tanúsítványfájl	Válassza ki a .cer fájlt.
   Tanúsítványbarát név	A webalkalmazásban megjelenő tanúsítványnév.

4. Ha elkészült, válassza a Hozzáadás lehetőséget.

   

5. A tanúsítvány feltöltése után másolja ki a tanúsítvány ujjlenyomatát, majd tekintse át a Tanúsítvány akadálymentessé tétele című cikket.

Lejáró tanúsítvány megújítása

Mielőtt egy tanúsítvány lejár, adja hozzá a megújított tanúsítványt az App Service-hez, és frissítse azokat a tanúsítványkötéseket, amelyeknél a folyamat a tanúsítvány típusától függ. Például a Key Vaultból importált tanúsítvány, beleértve egy App Service-tanúsítványt is, 24 óránként automatikusan szinkronizálódik az App Service-hez, és frissíti a TLS/SSL kötést a tanúsítvány megújításakor. Feltöltött tanúsítvány esetén nincs automatikus kötésfrissítés. A forgatókönyv alapján tekintse át a megfelelő szakaszt:

• Feltöltött tanúsítvány megújítása
• App Service-tanúsítvány megújítása
• A Key Vaultból importált tanúsítvány megújítása

Feltöltött tanúsítvány megújítása

Ha lecserél egy lejáró tanúsítványt, a tanúsítványkötés új tanúsítványra való frissítésének módja hátrányosan befolyásolhatja a felhasználói élményt. Előfordulhat például, hogy a bejövő IP-cím megváltozik egy kötés törlésekor, még akkor is, ha a kötés IP-alapú. Ez az eredmény különösen akkor hat, ha egy már IP-alapú kötésben lévő tanúsítványt újít meg. Az alkalmazás IP-címének módosításának elkerülése és az alkalmazás HTTPS-hibák miatti állásidejének elkerülése érdekében kövesse az alábbi lépéseket a megadott sorrendben:

1. Töltse fel az új tanúsítványt.

2. Lépjen az alkalmazás Egyéni tartományok lapjára, válassza a ... gombot, majd a Kötés frissítése lehetőséget.

3. Válassza ki az új tanúsítványt, majd válassza a Frissítés lehetőséget.

4. Törölje a meglévő tanúsítványt.

A Key Vaultból importált tanúsítvány megújítása

Megjegyzés

Az App Service-tanúsítvány megújításáról az App Service-tanúsítvány megújítása című témakörben olvashat.

Az App Service-be a Key Vaultból importált tanúsítvány megújításához tekintse át az Azure Key Vault-tanúsítvány megújítását.

Miután a tanúsítvány megújul a kulcstartóban, az App Service automatikusan szinkronizálja az új tanúsítványt, és 24 órán belül frissíti a vonatkozó tanúsítványkötéseket. A manuális szinkronizáláshoz kövesse az alábbi lépéseket:

1. Nyissa meg az alkalmazás Tanúsítvány lapját.

2. A Hozza saját tanúsítványait (.pfx) területen válassza ki az importált kulcstár tanúsítványának ... gombját, majd válassza a Szinkronizálás lehetőséget.

Gyakori kérdések

Hogyan automatizálhatom saját tanúsítvány hozzáadását egy alkalmazáshoz?

• Azure CLI: Egyéni TLS/SSL-tanúsítvány kötése webalkalmazáshoz
• Azure PowerShell: Egyéni TLS/SSL-tanúsítvány kötése webalkalmazáshoz a PowerShell használatával

Használhatok privát hitelesítésszolgáltatói (hitelesítésszolgáltatói) tanúsítványt a bejövő TLS-ekhez az alkalmazásomon?

Az App Service Environment 3-es verziójában a bejövő TLS-hez használhat privát hitelesítésszolgáltatói tanúsítványt. Ez az App Service (több-bérlős) környezetben nem lehetséges. További információ az App Service több-bérlős és egybérlős szolgáltatásáról: App Service Environment v3 és App Service nyilvános több-bérlős összehasonlítás.

Kezdeményezhetek kimenő hívásokat privát hitelesítésszolgáltatói ügyféltanúsítvány használatával az alkalmazásomból?

Ez csak a windowsos tárolóalkalmazások esetében támogatott a több-bérlős App Service-ben. Emellett kimenő hívásokat is kezdeményezhet egy privát hitelesítésszolgáltatói ügyféltanúsítvány használatával, amely kódalapú és tárolóalapú alkalmazásokat is használ az App Service Environment 3-es verziójában. További információ az App Service több-bérlős és egybérlős szolgáltatásáról: App Service Environment v3 és App Service nyilvános több-bérlős összehasonlítás.

Betölthetek-e egy privát CA-tanúsítványt az App Service megbízható gyökértárolójába?

Az App Service Environment verzió 3-ban betöltheti saját hitelesítésszolgáltatói tanúsítványát a Megbízható gyökértárolóba. Nem módosíthatja a megbízható gyökértanúsítványok listáját az App Service-ben (több bérlős). További információ az App Service több-bérlős és egybérlős szolgáltatásáról: App Service Environment v3 és App Service nyilvános több-bérlős összehasonlítás.

Használható az App Service-tanúsítvány más szolgáltatásokhoz?

Igen, az App Service-tanúsítványon keresztül vásárolt tanúsítványok exportálhatók és használhatók az Application Gateway vagy más szolgáltatások használatával. További információkért tekintse meg a következő blogbejegyzést: Az App Service-tanúsítvány helyi PFX-példányának létrehozása.

További erőforrások

• Egyéni DNS-név védelme TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban
• HTTPS kényszerítése
• TLS 1.1/1.2 kényszerítése
• TLS-/SSL-tanúsítvány használata a kódban az Azure App Service-ben
• Gyakori kérdések: App Service-tanúsítványok