Creare e gestire un certificato servizio app per l'app Web

Questo articolo illustra come creare un certificato servizio app e gestirlo, ad esempio rinnovare, sincronizzare ed eliminare. Dopo aver ottenuto un certificato servizio app, è possibile importarlo in un'app servizio app. Un certificato servizio app è un certificato privato gestito da Azure. Questa opzione combina la semplicità della gestione automatizzata dei certificati e la flessibilità delle opzioni di rinnovo e di esportazione.

Se si acquista un certificato servizio app da Azure, Azure gestisce le attività seguenti:

• Gestisce il processo di acquisto da GoDaddy.
• Esegue la verifica del dominio del certificato.
• Gestisce il certificato in Azure Key Vault.
• Gestisce il rinnovo del certificato.
• Sincronizza automaticamente il certificato con le copie importate nelle app di servizio app.

Nota

Dopo aver caricato un certificato in un'app, il certificato viene archiviato in un'unità di distribuzione associata al gruppo di risorse, all'area geografica e alla combinazione del sistema operativo del piano di servizio app, denominata internamente uno spazio Web. In questo modo, il certificato è accessibile ad altre app nello stesso gruppo di risorse e nella stessa combinazione di aree. I certificati caricati o importati in servizio app vengono condivisi con servizio app nella stessa unità di distribuzione.

Prerequisiti

• Creare un'app del Servizio app di Azure. Il piano di servizio app dell'app deve essere nel livello Basic, Standard, Premium o Isolato. Vedere Aumentare le prestazioni di un'app per aggiornare il livello.

Nota

Attualmente, i certificati servizio app non sono supportati nei cloud nazionali di Azure.

Acquistare e configurare un certificato servizio app

Avviare l'acquisto di certificati

1. Passare alla pagina di creazione del certificato servizio app e avviare l'acquisto per un certificato servizio app.

   Nota

   I certificati del servizio app acquistati da Azure vengono rilasciati da GoDaddy. Per alcuni domini, è necessario consentire in modo esplicito GoDaddy come autorità di certificazione creando un record di dominio CAA con il valore : 0 issue godaddy.com

   

2. Per configurare il certificato, usare la tabella seguente. Al termine, selezionare Rivedi e crea, quindi selezionare Crea.

   Impostazione	Descrizione
   Abbonamento	Sottoscrizione di Azure da associare al certificato.
   Gruppo di risorse	Gruppo di risorse che conterrà il certificato. È possibile creare un nuovo gruppo di risorse o selezionare lo stesso gruppo di risorse dell'app servizio app.
   SKU	Determina il tipo di certificato da creare, ovvero un certificato standard o un certificato con caratteri jolly.
   Nome host di dominio naked	Specificare il dominio radice. Il certificato emesso protegge sia il dominio radice sia il sottodominio www. Nel certificato rilasciato, il campo Nome comune specifica il dominio radice e il campo Nome alternativo soggetto specifica il www dominio. Per proteggere solo qualsiasi sottodominio, specificare il nome di dominio completo per il sottodominio, mysubdomain.contoso.comad esempio .
   Nome certificato	Nome descrittivo del certificato servizio app.
   Abilitare il rinnovo automatico	Selezionare se rinnovare automaticamente il certificato prima della scadenza. Ogni rinnovo estende la scadenza del certificato di un anno e il costo viene addebitato alla sottoscrizione.

3. Al termine della distribuzione, selezionare Vai alla risorsa.

Archiviare il certificato in Azure Key Vault

Il Key Vault è un servizio di Azure che consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud. Per servizio app certificati, l'archiviazione scelta è Key Vault. Dopo aver completato il processo di acquisto del certificato, è necessario completare alcuni passaggi prima di iniziare a usare questo certificato.

1. Nella pagina servizio app Certificati selezionare il certificato. Nel menu certificato selezionare Certificate Configuration>Step 1: Store (Passaggio 1: Archiviazione).

   

2. Nella pagina Stato dell'insieme di credenziali delle chiavi selezionare Seleziona da Key Vault.

3. Se si crea un nuovo insieme di credenziali, configurare l'insieme di credenziali in base alla tabella seguente e assicurarsi di usare la stessa sottoscrizione e gruppo di risorse dell'app servizio app.

   Impostazione	Descrizione
   Gruppo di risorse	Consigliato: lo stesso gruppo di risorse del certificato servizio app.
   Nome dell'insieme di credenziali delle chiavi	Nome univoco che usa solo caratteri alfanumerici e trattini.
   Area	La stessa posizione dell'app servizio app.
   Piano tariffario	Per altre informazioni, vedere Prezzi di Azure Key Vault.
   Giorni per conservare gli insiemi di credenziali eliminati	Numero di giorni dopo l'eliminazione, in cui gli oggetti rimangono recuperabili (vedere Panoramica dell'eliminazione temporanea di Azure Key Vault). Impostare un valore compreso tra 7 e 90.
   Ripulire la protezione	Impedisce che gli oggetti st eliminati temporaneamente vengano eliminati manualmente. Se si abilita questa opzione, tutti gli oggetti eliminati rimangono nello stato eliminato temporaneo per l'intera durata del periodo di conservazione.

4. Selezionare Avanti e selezionare Criteri di accesso all'insieme di credenziali. Attualmente, servizio app certificati supportano solo i criteri di accesso di Key Vault, non il modello di controllo degli accessi in base al ruolo.

5. Selezionare Rivedi e crea e quindi Crea.

6. Dopo aver creato l'insieme di credenziali delle chiavi, non selezionare Vai alla risorsa, ma attendere che la pagina Selezionare l'insieme di credenziali delle chiavi da Azure Key Vault venga ricaricata.

7. Seleziona Seleziona.

8. Dopo aver selezionato l'insieme di credenziali, chiudere la pagina Repository dell'insieme di credenziali delle chiavi. L'opzione Passaggio 1: Store dovrebbe mostrare un segno di spunta verde per indicare l'esito positivo. Mantenere aperta la pagina per proseguire con il passaggio successivo.

Confermare la proprietà del dominio

1. Nella stessa pagina Configurazione certificato della sezione precedente selezionare Passaggio 2: Verifica.

   

2. Selezionare Verifica del servizio app. Tuttavia, poiché in precedenza è stato eseguito il mapping del dominio all'app Web in base ai prerequisiti, il dominio è già verificato. Per completare questo passaggio, selezionare Verifica e quindi selezionare Aggiorna fino a quando non viene visualizzato il messaggio Certificato verificato dominio .

Sono supportati i metodi di verifica del dominio seguenti:

metodo	Descrizione
Verifica del servizio app	L'opzione più pratica quando il dominio è già mappato a un'app servizio app nella stessa sottoscrizione perché l'app servizio app ha già verificato la proprietà del dominio. Esaminare l'ultimo passaggio in Confermare la proprietà del dominio.
Verifica del dominio	Confermare un dominio servizio app acquistato da Azure. Azure aggiunge automaticamente il record TXT di verifica e completa il processo.
Verifica tramite posta elettronica	Confermare il dominio inviando un messaggio di posta elettronica all'amministratore di dominio. Quando si seleziona questa opzione, vengono fornite istruzioni.
Verifica manuale	Confermare il dominio usando un record TXT DNS o una pagina HTML, che si applica solo ai certificati Standard in base alla nota seguente. I passaggi vengono forniti dopo aver selezionato l'opzione . L'opzione pagina HTML non funziona per le app Web con "Solo HTTPS" abilitato. Per la verifica del dominio tramite record TXT DNS per entrambi i domini radice (ad esempio. "contoso.com") o sottodominio (ad esempio. "www.contoso.com", "test.api.contoso.com") e indipendentemente dallo SKU del certificato, è necessario aggiungere un record TXT a livello di dominio radice usando "@" per il nome e il token di verifica del dominio per il valore nel record DNS.

Importante

Con il certificato Standard si ottiene un certificato per il dominio di primo livello richiesto e il www sottodominio, ad esempio contoso.com e www.contoso.com. Tuttavia, servizio app verifica e verifica manuale usano entrambe la verifica della pagina HTML, che non supporta il sottodominio durante il rilascio, la www reimpostazione della chiave o il rinnovo di un certificato. Per il certificato Standard , usare verifica del dominio e verifica della posta elettronica per includere il www sottodominio con il dominio di primo livello richiesto nel certificato.

Dopo aver verificato il certificato, è possibile importarlo in un'app servizio app.

Rinnovare un certificato servizio app

Per impostazione predefinita, servizio app certificati hanno un periodo di validità di un anno. Prima e più vicino alla data di scadenza, è possibile rinnovare automaticamente o manualmente i certificati servizio app in incrementi di un anno. Il processo di rinnovo offre un nuovo certificato servizio app con la data di scadenza estesa a un anno dalla data di scadenza del certificato esistente.

Nota

A partire dal 23 settembre 2021, se il dominio non è stato verificato negli ultimi 395 giorni, i certificati servizio app richiedono la verifica del dominio durante un processo di rinnovo o reimpostazione della chiave. Il nuovo ordine di certificato rimane in modalità di rilascio in sospeso durante il processo di rinnovo o reimpostazione della chiave fino a quando non si completa la verifica del dominio.

A differenza del certificato gestito servizio app gratuito, la verifica del dominio per i certificati servizio app non è automatizzata. Se non si verifica la proprietà del dominio, i rinnovi non sono riusciti. Per altre informazioni su come verificare il certificato servizio app, vedere Confermare la proprietà del dominio.

Il processo di rinnovo richiede che l'entità servizio nota per servizio app disponga delle autorizzazioni necessarie per l'insieme di credenziali delle chiavi. Queste autorizzazioni vengono configurate per l'utente quando si importa un certificato servizio app tramite il portale di Azure. Assicurarsi di non rimuovere queste autorizzazioni dall'insieme di credenziali delle chiavi.

1. Per modificare l'impostazione di rinnovo automatico per il certificato servizio app in qualsiasi momento, nella pagina servizio app Certificati selezionare il certificato.

2. Nel menu a sinistra selezionare Rinnovo automatico Impostazioni.

3. Selezionare Sì o Disattivato e selezionare Salva.

   Se si attiva il rinnovo automatico, i certificati possono iniziare a rinnovare automaticamente 32 giorni prima della scadenza.

   

4. Per rinnovare manualmente il certificato, selezionare Rinnovo manuale. È possibile richiedere di rinnovare manualmente il certificato 60 giorni prima della scadenza, ma la data di scadenza massima sarà di 397 giorni.

5. Al termine dell'operazione di rinnovo, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Nota

   Se non si seleziona Sincronizza, servizio app sincronizza automaticamente il certificato entro 24 ore.

Reimpostare e servizio app certificato

Se si ritiene che la chiave privata del certificato sia compromessa, è possibile reimpostarla. Questa azione esegue il rollback del certificato con un nuovo certificato emesso dall'autorità di certificazione.

1. Nella pagina servizio app Certificati selezionare il certificato. Nel menu a sinistra selezionare Rekey and Sync (Reimposta e sincronizza).

2. Per avviare il processo, selezionare Reimposta chiave. Questo processo può richiedere da 1 a 10 minuti.

   

3. Potrebbe anche essere necessario riconfermare la proprietà del dominio.

4. Al termine dell'operazione di reimpostazione della chiave, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Nota

   Se non si seleziona Sincronizza, servizio app sincronizza automaticamente il certificato entro 24 ore.

Esportare un certificato servizio app

Poiché un certificato servizio app è un segreto di Key Vault, è possibile esportare una copia come file PFX, che è possibile usare per altri servizi di Azure o all'esterno di Azure.

Importante

Il certificato esportato è un artefatto non gestito. servizio app non sincronizza tali elementi quando il certificato servizio app viene rinnovato. È necessario esportare e installare il certificato rinnovato, se necessario.

Azure portal

1. Nella pagina servizio app Certificati selezionare il certificato.

2. Nel menu a sinistra selezionare Esporta certificato.

3. Selezionare Apri segreto dell'insieme di credenziali delle chiavi.

4. Selezionare la versione corrente del certificato.

5. Selezionare Scarica come certificato.

Interfaccia della riga di comando di Azure

Eseguire i comandi seguenti in Azure Cloud Shell oppure eseguirli in locale se è stata installata l'interfaccia della riga di comando di Azure. Sostituire i segnaposto con i nomi usati quando è stato acquistato il certificato servizio app.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Il file PFX scaricato è un file PKCS12 non elaborato che contiene sia i certificati pubblici che privati e ha una password di importazione che è una stringa vuota. È possibile installare il file in locale lasciando vuoto il campo della password. Non è possibile caricare il file così come è in servizio app perché il file non è protetto da password.

Eliminare un certificato di servizio app

Se si elimina un certificato servizio app, l'operazione di eliminazione è irreversibile e finale. Il risultato è un certificato revocato e qualsiasi associazione in servizio app che usa questo certificato non è più valida.

1. Nella pagina servizio app Certificati selezionare il certificato.

2. Nel menu a sinistra selezionare Panoramica>Elimina.

3. Quando si apre la casella di conferma, immettere il nome del certificato e selezionare OK.

Domande frequenti

Il certificato servizio app non ha alcun valore in Key Vault

Il certificato servizio app è probabilmente ancora non ancora verificato dal dominio. Fino a quando la proprietà del dominio non viene confermata, il certificato servizio app non è pronto per l'uso. Come segreto dell'insieme di credenziali delle chiavi, mantiene un Initialize tag e il relativo valore e il tipo di contenuto rimangono vuoti. Quando la proprietà del dominio viene confermata, il segreto dell'insieme di credenziali delle chiavi mostra un valore e un tipo di contenuto e il tag cambia in Ready.

Non è possibile esportare il certificato di servizio app con PowerShell

Il certificato servizio app è probabilmente ancora non ancora verificato dal dominio. Fino a quando la proprietà del dominio non viene confermata, il certificato servizio app non è pronto per l'uso.

Quali modifiche apportano al processo di creazione del certificato servizio app all'insieme di credenziali delle chiavi esistente?

Il processo di creazione apporta le modifiche seguenti:

• Aggiunge due criteri di accesso nell'insieme di credenziali:
  • Microsoft.Azure.WebSites (o Microsoft Azure App Service)
  • Provider di risorse CSM rivenditore di certificati Microsoft (o Microsoft.Azure.CertificateRegistration)
• Crea un blocco di eliminazione nell'insieme di credenziali chiamato: AppServiceCertificateLock per impedire l'eliminazione accidentale dell'insieme di credenziali delle chiavi.

Altre risorse

• Proteggere un nome DNS personalizzato con un'associazione TLS/SSL nel Servizio app di Azure
• Applicare HTTPS
• Applicare TLS 1.1/1.2
• Usare un certificato TLS/SSL nel codice nel Servizio app di Azure
• Domande frequenti: Certificati del servizio app