Membuat dan mengelola sertifikat App Service untuk aplikasi web Anda

Artikel ini memperlihatkan cara membuat sertifikat App Service dan melakukan tugas manajemen seperti memperbarui, menyinkronkan, dan menghapus sertifikat. Setelah memiliki sertifikat App Service, Anda kemudian dapat mengimpornya ke aplikasi App Service. Sertifikat App Service adalah sertifikat privat yang dikelola oleh Azure. Sertifikat ini menggabungkan kemudahan manajemen sertifikat otomatis dan fleksibilitas opsi perpanjangan dan ekspor.

Jika Anda membeli sertifikat App Service dari Azure, Azure akan mengelola tugas berikut:

• Menangani proses pembelian dari GoDaddy.
• Melakukan verifikasi domain sertifikat.
• Memelihara sertifikat di Azure Key Vault.
• Mengelola perpanjangan sertifikat.
• Sinkronkan sertifikat secara otomatis dengan salinan yang diimpor di aplikasi App Service.

Catatan

Setelah Anda mengunggah sertifikat ke aplikasi, sertifikat itu akan disimpan dalam unit penyebaran yang terikat ke kombinasi grup sumber daya, wilayah, dan sistem operasi paket App Service (secara internal disebut ruang web). Dengan cara ini, sertifikat dapat diakses oleh aplikasi lain di kombinasi grup sumber daya dan wilayah yang sama. Sertifikat yang diunggah atau diimpor ke App Service dibagikan dengan App Services di unit penyebaran yang sama.

Prasyarat

• Buat aplikasi Azure App Service. Paket App Service aplikasi harus berada di tingkat Dasar, Standar, Premium, atau Terisolasi. Lihat Memperluas skala aplikasi untuk memperbarui tingkat.

Catatan

Saat ini, sertifikat App Service tidak didukung di cloud nasional Azure.

Membeli dan mengonfigurasi sertifikat App Service

Beli sertifikat

1. Buka halaman Buat sertifikat App Service untuk memulai pembelian.

   Catatan

   Sertifikat App Service yang dibeli dari Azure diterbitkan oleh GoDaddy. Untuk beberapa domain, Anda harus secara eksplisit mengizinkan GoDaddy sebagai penerbit sertifikat dengan membuat catatan domain CAA dengan nilai 0 issue godaddy.com.

   

2. Untuk mengonfigurasi sertifikat, gunakan tabel berikut. Setelah selesai, pilih Tinjau + Buat, lalu pilih Buat.

   Pengaturan	Deskripsi
   Langganan	Langganan Azure untuk dikaitkan dengan sertifikat.
   Grup Sumber Daya	Grup sumber daya yang akan berisi sertifikat. Anda dapat menggunakan grup sumber daya baru atau memilih grup sumber daya yang sama dengan aplikasi App Service.
   SKU	Menentukan jenis sertifikat yang akan dibuat, baik sertifikat standar atau sertifikat wildcard.
   Nama host domain telanjang	Tentukan domain akar di sini. Sertifikat yang dikeluarkan memberikan keamanan untuk domain akar dan www subdomain. Dalam sertifikat yang dikeluarkan, bidang Nama Umum berisi domain akar, dan bidang Nama Alternatif Subjek menentukan domain www. Untuk memberikan keamanan hanya untuk subdomain, tentukan nama domain yang sepenuhnya memenuhi syarat untuk subdomain, misalnya, mysubdomain.contoso.com.
   Nama sertifikat	Nama yang mudah diingat untuk sertifikat App Service Anda.
   Aktifkan perpanjangan otomatis	Pilih apakah akan memperbarui sertifikat secara otomatis sebelum kedaluwarsa. Setiap perpanjangan memperpanjang kedaluwarsa sertifikat hingga satu tahun. Biaya dibebankan ke langganan Anda.

3. Setelah penyebaran selesai, pilih Kembali ke sumber daya.

Menyimpan sertifikat di Azure Key Vault

Azure Key Vault membantu melindungi kunci kriptografi dan rahasia yang digunakan oleh aplikasi dan layanan cloud. Untuk sertifikat App Service, kami sarankan Anda menggunakan Key Vault. Setelah menyelesaikan proses pembelian sertifikat, Anda harus menyelesaikan beberapa langkah lagi sebelum mulai menggunakan sertifikat.

1. Buka halaman Sertifikat App Service, lalu pilih sertifikat. Pada menu sertifikat, pilih Konfigurasi Sertifikat>Langkah 1: Simpan.

   

2. Pada halaman Status Key Vault, pilih Pilih dari Key Vault.

3. Jika Anda membuat vault baru, siapkan vault berdasarkan tabel berikut, dan pastikan untuk menggunakan langganan dan grup sumber daya yang sama dengan aplikasi App Service Anda.

   Pengaturan	Deskripsi
   Grup sumber daya	Disarankan: grup sumber daya yang sama dengan sertifikat App Service Anda.
   Nama brankas kunci	Nama unik yang hanya terdiri dari karakter alfanumerik dan tanda hubung.
   Wilayah	Lokasi yang sama dengan aplikasi App Service Anda.
   Tingkat harga	Untuk informasi, lihat Detail harga Azure Key Vault.
   Hari untuk mempertahankan vault yang dihapus	Jumlah hari, setelah penghapusan, objek tersebut tetap dapat dipulihkan. (Lihat Gambaran umum penghapusan sementara Azure Key Vault.) Tetapkan nilai antara 7 dan 90.
   Perlindungan penghapusan menyeluruh	Mengaktifkan opsi ini memaksa semua objek yang dihapus untuk tetap dalam status dihapus sementara selama seluruh durasi periode retensi.

4. Pilih Berikutnya lalu pilih Kebijakan akses vault. Saat ini, sertifikat App Service hanya mendukung kebijakan akses Key Vault, bukan model RBAC.

5. Pilih Tinjau + buat, lalu pilih Buat.

6. Setelah brankas kunci dibuat, jangan pilih Buka sumber daya. Tunggu hingga halaman Pilih brankas kunci dari Azure Key Vault dimuat ulang.

7. Pilih Pilih.

8. Setelah brankas dipilih, tutup halaman Repositori Key Vault. Opsi Langkah 1: Simpan seharusnya menampilkan tanda centang hijau jika sukses. Tetap buka halaman untuk langkah berikutnya.

Mengonfirmasi kepemilikan domain

1. Dari halaman Konfigurasi Sertifikat yang sama seperti di bagian sebelumnya, pilih Langkah 2: Verifikasi.

   

2. Pilih Verifikasi App Service. Karena Anda memetakan domain ke aplikasi web Anda sebelumnya di bagian ini, domain sudah diverifikasi. Untuk menyelesaikan langkah ini, cukup pilih Verifikasi, lalu pilih Refresh hingga pesan Sertifikat Diverifikasi Domain muncul.

Metode verifikasi domain berikut didukung:

Metode	Deskripsi
Verifikasi App Service	Opsi yang paling nyaman adalah saat domain sudah dipetakan ke aplikasi App Service dalam langganan yang sama karena aplikasi App Service telah memverifikasi kepemilikan domain. Tinjau langkah terakhir ini dalam Mengonfirmasi kepemilikan domain.
Verifikasi Domain	Konfirmasi domain App Service yang Anda beli dari Azure. Azure secara otomatis menambahkan rekaman TXT verifikasi untuk Anda dan menyelesaikan prosesnya.
Verifikasi Email	Verifikasi domain dengan mengirim email ke administrator domain. Instruksi diberikan saat Anda memilih opsi.
Verifikasi Manual	Konfirmasi domain dengan menggunakan catatan DNS TXT atau halaman HTML. (Yang terakhir hanya berlaku untuk sertifikat Standar. Lihat catatan berikut.) Langkah-langkah disediakan setelah Anda memilih opsi . Opsi halaman HTML tidak berfungsi untuk aplikasi web dengan HANYA HTTPS diaktifkan. Untuk verifikasi domain melalui catatan DNS TXT untuk domain akar (misalnya, contoso.com) atau subdomain (misalnya, www.contoso.com atau test.api.contoso.com) dan terlepas dari SKU sertifikat, Anda perlu menambahkan catatan TXT di tingkat domain akar, menggunakan @ untuk nama dan token verifikasi domain untuk nilai dalam catatan DNS Anda.

Penting

Dengan sertifikat Standar, Anda mendapatkan sertifikat untuk domain tingkat atas yang diminta dan www subdomain, misalnya, contoso.com dan www.contoso.com. Namun, Verifikasi App Service dan Verifikasi Manual keduanya menggunakan verifikasi halaman HTML, yang tidak mendukung www subdomain saat Anda menerbitkan, mengulangi, atau memperbarui sertifikat. Untuk sertifikat Standar, gunakan Verifikasi Domain dan Verifikasi Email untuk menyertakan www subdomain dengan domain tingkat atas yang diminta dalam sertifikat.

Setelah sertifikat Anda diverifikasi domain, Anda siap untuk mengimpornya ke aplikasi App Service.

Memperbarui sertifikat App Service

Secara default, sertifikat App Service berlaku untuk satu tahun. Sebelum tanggal kedaluwarsa, Anda dapat memperbarui sertifikat App Service secara otomatis atau manual dalam kenaikan satu tahun. Proses perpanjangan memberi Anda sertifikat App Service baru dengan tanggal kedaluwarsa diperpanjang hingga satu tahun dari tanggal kedaluwarsa sertifikat yang ada.

Catatan

Mulai 23 September 2021, jika Anda belum memverifikasi domain dalam 395 hari terakhir, sertifikat App Service memerlukan verifikasi domain selama proses perpanjangan, perpanjangan otomatis, atau kunci ulang. Urutan sertifikat baru tetap dalam mode "penerbitan tertunda" selama proses perpanjangan, perpanjangan otomatis, atau kunci ulang hingga Anda menyelesaikan verifikasi domain.

Tidak seperti sertifikat terkelola App Service gratis, sertifikat App Service yang dibeli tidak memiliki verifikasi ulang domain otomatis. Gagal memverifikasi hasil kepemilikan domain di perpanjangan yang gagal. Untuk informasi selengkapnya tentang cara memverifikasi sertifikat App Service Anda, tinjau Mengonfirmasi kepemilikan domain.

Proses perpanjangan mengharuskan perwakilan layanan untuk App Service memiliki izin yang diperlukan pada brankas kunci Anda. Izin ini disiapkan untuk Anda saat Anda mengimpor sertifikat App Service melalui portal Azure. Pastikan Anda tidak menghapus izin ini dari brankas kunci Anda.

1. Untuk mengubah pengaturan perpanjangan otomatis untuk sertifikat App Service Anda kapan saja, di halaman Sertifikat App Service, pilih sertifikat.

2. Di menu kiri, pilih Pengaturan Perpanjangan Otomatis.

3. Pilih Aktif atau Nonaktif, lalu pilih Simpan.

   Jika Anda mengaktifkan perpanjangan otomatis, sertifikat dapat mulai diperpanjang secara otomatis 32 hari sebelum kedaluwarsa.

   

4. Untuk memperpanjang sertifikat secara manual, pilih Perpanjangan Manual. Anda dapat meminta untuk memperbarui sertifikat Anda secara manual 60 hari sebelum kedaluwarsa, tetapi sertifikat tidak dapat dikeluarkan lebih dari 397 hari.

5. Setelah operasi perpanjangan selesai, pilih Sinkronkan.

   Klik sinkronkan otomatis memperbarui pengikatan nama host untuk sertifikat di App Service tanpa menyebabkan waktu henti pada aplikasi Anda.

   Catatan

   Jika Anda tidak memilih Sinkronkan, App Service otomatis menyinkronkan sertifikat Anda dalam waktu 24 jam.

Mengunci ulang sertifikat App Service

Jika menurut Anda kunci privat sertifikat Anda disusupi, Anda dapat mengunci ulang sertifikat Anda. Tindakan ini memutar sertifikat dengan sertifikat baru yang dikeluarkan dari otoritas sertifikat.

1. Buka halaman Sertifikat App Service, lalu pilih sertifikat. Dari menu kiri, pilih Ganti Kunci dan Sinkronkan.

2. Untuk memulai proses, pilih Ganti Kunci. Proses ini bisa memakan waktu 1-10 menit.

   

3. Anda mungkin juga diwajibkan mengonfirmasi ulang kepemilikan domain.

4. Setelah operasi penggantian kunci selesai, pilih Sinkronkan.

   Klik sinkronkan otomatis memperbarui pengikatan nama host untuk sertifikat di App Service tanpa menyebabkan waktu henti pada aplikasi Anda.

   Catatan

   Jika Anda tidak memilih Sinkronkan, App Service otomatis menyinkronkan sertifikat Anda dalam waktu 24 jam.

Mengekspor sertifikat App Service

Karena Sertifikat App Service adalah rahasia Key Vault, Anda dapat mengekspor salinan file PFX yang dapat digunakan untuk layanan Azure lain atau di luar Azure.

Penting

Sertifikat yang diekspor adalah artefak yang tidak dikelola. App Service tidak menyinkronkan artefak tersebut saat Sertifikat App Service diperbarui. Anda harus mengekspor dan menginstal sertifikat yang diperpanjang di tempat yang Anda butuhkan.

Portal Azure

1. Buka halaman Sertifikat App Service, lalu pilih sertifikat.

2. Di menu kiri, pilih Ekspor Sertifikat.

3. Pilih Buka Rahasia Key Vault.

4. Pilih versi sertifikat saat ini.

5. Pilih Unduh sebagai sertifikat.

Azure CLI

Jalankan perintah berikut di Azure Cloud Shell, atau jalankan secara lokal jika Anda telah menginstal Azure CLI. Ganti tempat penampung dengan nama yang Anda gunakan saat membeli sertifikat App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

File PFX yang diunduh adalah file PKCS12 mentah yang berisi sertifikat publik dan privat, dan kata sandi impornya adalah string kosong. Anda dapat menginstalnya secara lokal dengan membiarkan bidang kata sandi kosong. Anda tidak dapat mengunggah file apa adanya ke App Service karena file tidak dilindungi kata sandi.

Menggunakan sertifikat Azure Advisor untuk App Service

Sertifikat App Service terintegrasi dengan Azure Advisor untuk memberikan rekomendasi keandalan saat sertifikat Anda memerlukan verifikasi domain. Anda harus memverifikasi kepemilikan domain untuk sertifikat Anda selama proses perpanjangan, perpanjangan otomatis, atau kunci ulang jika Anda belum memverifikasi domain dalam 395 hari terakhir. Untuk memastikan Anda tidak melewatkan sertifikat apa pun yang memerlukan verifikasi atau mempertaruhkan sertifikat apa pun agar tidak kedaluwarsa, Anda dapat menggunakan Azure Advisor untuk melihat dan menyiapkan pemberitahuan untuk sertifikat App Service.

Lihat rekomendasi Advisor

Untuk melihat rekomendasi Advisor untuk sertifikat App Service:

1. Navigasi ke halaman Azure Advisor.

2. Dari menu sebelah kiri, pilih Keandalan Rekomendasi>

3. Pilih opsi filter Ketik sama dan cari Sertifikat App Service dari daftar dropdown. Jika nilai tidak ada di menu dropdown, maka itu berarti tidak ada rekomendasi yang dihasilkan untuk sumber daya sertifikat App Service Anda karena tidak ada yang memerlukan verifikasi kepemilikan domain.

Membuat Pemberitahuan Advisor

Anda [buat pemberitahuan Azure Advisor pada rekomendasi baru] menggunakan konfigurasi yang berbeda. Untuk menyiapkan Pemberitahuan Advisor khusus untuk sertifikat App Serivice sehingga Anda bisa mendapatkan pemberitahuan saat sertifikat Anda memerlukan validasi kepemilikan domain:

1. Navigasi ke halaman Azure Advisor.

2. Dari menu sebelah kiri, pilih Pemberitahuan Pemantauan>(Pratinjau)

3. Klik + Pemberitahuan Advisor Baru pada bilah tindakan di bagian atas. Ini akan membuka bilah baru yang disebut "Buat Pemberitahuan Advisor".

4. Di bawah Kondisi pilih yang berikut ini:

   Dikonfigurasi oleh	Jenis Rekomendasi
   Jenis Rekomendasi	Verifikasi domain diperlukan untuk menerbitkan Sertifikat App Service Anda

5. Isi bidang yang diperlukan lainnya, lalu pilih tombol Buat pemberitahuan di bagian bawah.

Menghapus sertifikat App Service

Jika Anda menghapus sertifikat App Service, operasi penghapusan tidak dapat diubah dan bersifat final. Hasilnya adalah sertifikat yang dicabut, dan pengikatan apa pun di App Service yang menggunakan sertifikat menjadi tidak valid.

1. Buka halaman Sertifikat App Service, lalu pilih sertifikat.

2. Dari menu kiri, pilih Ringkasan>Hapus.

3. Saat kotak konfirmasi terbuka, masukkan nama sertifikat, lalu pilih OK.

Tanya jawab umum

Sertifikat App Service saya tidak memiliki nilai apa pun di Key Vault

Sertifikat App Service Anda mungkin belum diverifikasi domain. Hingga kepemilikan domain dikonfirmasi, sertifikat App Service Anda belum siap digunakan. Sebagai rahasia Key Vault, ia mempertahankan Initialize tag, dan nilai dan jenis kontennya tetap kosong. Ketika kepemilikan domain dikonfirmasi, rahasia brankas kunci menunjukkan nilai dan jenis konten, dan tag berubah menjadi Ready.

Saya tidak dapat mengekspor sertifikat App Service saya dengan PowerShell

Sertifikat App Service Anda mungkin belum diverifikasi domain. Hingga kepemilikan domain dikonfirmasi, sertifikat App Service Anda belum siap digunakan.

Perubahan apa yang dilakukan proses pembuatan sertifikat App Service ke brankas kunci saya yang ada?

Proses pembuatan membuat perubahan berikut:

• Menambahkan dua kebijakan akses di vault:
  • Microsoft.Azure.WebSites (atau Microsoft Azure App Service)
  • Penyedia Sumber Daya CSM penjual sertifikat Microsoft (atau Microsoft.Azure.CertificateRegistration)
• Membuat kunci penghapusan yang dipanggil AppServiceCertificateLock pada vault untuk mencegah penghapusan brankas kunci yang tidak disengaja.

Konten terkait

• Mengamankan nama DNS kustom dengan pengikatan TLS/SSL di Azure App Service
• Menerapkan HTTPS
• Menerapkan TLS 1.1/1.2
• Menggunakan sertifikat TLS/SSL dalam kode Anda di Azure App Service
• Tanya jawab umum tentang membuat atau menghapus sumber daya di Azure App Service