Acquistare e gestire i certificati del servizio app

Questo articolo illustra come creare un certificato del servizio app di Azure ed eseguire attività di gestione come il rinnovo, la sincronizzazione e l'eliminazione dei certificati. Dopo aver ottenuto un certificato App Service, è possibile importarlo in un'app del servizio App. Un certificato del servizio app è un certificato privato gestito da Azure. Questa opzione combina la semplicità della gestione automatizzata dei certificati e la flessibilità delle opzioni di rinnovo e di esportazione.

Se si acquista un certificato del Servizio app da Azure, Azure gestisce le attività seguenti:

• Gestisce il processo di acquisto da GoDaddy.
• Esegue la verifica del dominio del certificato.
• Gestisce il certificato in Azure Key Vault.
• Gestisce il rinnovo del certificato.
• Sincronizza automaticamente il certificato con le copie importate nelle app del Servizio app.

Dopo aver caricato un certificato in un'app, il certificato viene archiviato in un'unità di distribuzione associata al gruppo di risorse, all'area e alla combinazione del sistema operativo del piano di servizio app. Internamente, si chiama spazio Web. In questo modo, il certificato è accessibile ad altre app nella stessa combinazione di gruppo di risorse e area. I certificati caricati o importati nel servizio app vengono condivisi con i servizi app nella stessa unità di distribuzione.

Prerequisiti

• Creare un'app del Servizio app di Azure. Il piano di Servizio app dell'app deve essere di livello Basic, Standard, Premium o Isolato. Per aggiornare il livello, vedere Aumentare le prestazioni di un'app.

Attualmente, i certificati del Servizio app non sono supportati nei cloud nazionali di Azure.

Acquistare e configurare un certificato del Servizio app

Acquistare il certificato

1. Passare alla pagina Crea certificato del Servizio app per avviare l'acquisto.

   Nota

   GoDaddy rilascia i certificati del servizio app acquistati da Azure. Per alcuni domini, è necessario consentire in modo esplicito GoDaddy come autorità di certificazione emittente creando un record di dominio di autorizzazione dell'autorità di certificazione con il valore 0 issue godaddy.com.

   

2. Per configurare il certificato, usare la tabella seguente. Al termine, selezionare Rivedi e crea e quindi crea.

   Impostazione	Descrizione
   Abbonamento	Sottoscrizione di Azure da associare al certificato.
   Gruppo di risorse	Gruppo di risorse che contiene il certificato. È possibile creare un nuovo gruppo di risorse o selezionare lo stesso gruppo di risorse dell'app del Servizio app.
   SKU	Determina il tipo di certificato da creare, se si tratti di un certificato standard o di un certificato con caratteri jolly.
   Nome host dominio Naked	Specificare il dominio radice. Il certificato rilasciato garantisce la sicurezza sia per il dominio radice che per il sottodominio www. Nel certificato emesso il campo Nome comune specifica il dominio radice. Il campo Nome alternativo soggetto specifica il www dominio. Per garantire la sicurezza solo per un sottodominio, specificare il nome di dominio completo per il sottodominio, ad esempio mysubdomain.contoso.com.
   Nome certificato	Nome descrittivo del certificato del Servizio app.
   Abilitare il rinnovo automatico	Selezionare se rinnovare automaticamente il certificato prima della scadenza. Ogni rinnovo estende la scadenza del certificato di un anno. Il costo viene addebitato alla sottoscrizione.

3. Una volta completata la distribuzione, selezionare Vai alla risorsa.

Archiviare il certificato in Azure Key Vault

Il Key Vault è un servizio di Azure che consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud. Per i certificati del Servizio app, è consigliabile usare Key Vault. Dopo aver completato il processo di acquisto del certificato, è necessario completare alcuni passaggi prima di iniziare a usarlo.

1. Nella pagina Certificati del servizio app, selezionare il certificato. Nel riquadro certificato selezionare Certificate Configuration>Step 1: Store (Passaggio 1: Archiviazione).

   

2. Nella pagina Stato di Key Vault, scegliere Seleziona da Key Vault.

3. Se si crea un nuovo insieme di credenziali, configurare l'insieme di credenziali in base alla tabella seguente. Accertarsi di usare la stessa sottoscrizione e lo stesso gruppo di risorse dell'app di App Service.

   Impostazione	Descrizione
   Gruppo di risorse	Elemento consigliato: lo stesso gruppo di risorse del certificato del servizio app.
   Nome dell'insieme di credenziali delle chiavi	Nome univoco che usa solo caratteri alfanumerici e trattini.
   Area	La stessa posizione dell'app del Servizio app.
   Piano tariffario	Per altre informazioni, vedere Prezzi di Azure Key Vault.
   Giorni di conservazione degli insiemi di credenziali eliminati	Numero di giorni per cui gli oggetti rimangono recuperabili a seguito di eliminazione. (Vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.) Impostare un valore compreso tra 7 e 90.
   Protezione dalla rimozione definitiva	Se si abilita questa opzione, tutti gli oggetti eliminati rimangono nello stato di eliminazione temporanea per l'intera durata del periodo di conservazione.

4. Selezionare Avanti e quindi selezionare Criteri di accesso all'insieme di credenziali. Attualmente, i certificati del servizio app supportano solo i criteri di accesso di Key Vault, non il modello di controllo degli accessi in base al ruolo.

5. Seleziona Rivedi e crea e quindi seleziona Crea.

6. Dopo aver creato l'insieme di credenziali delle chiavi, non selezionare Vai alla risorsa. Attendere il ricaricamento della pagina Seleziona insieme di credenziali delle chiavi da Azure Key Vault.

7. Scegli Seleziona.

8. Dopo aver selezionato l'insieme di credenziali, chiudere la pagina Repository di Key Vault. L'opzione Passaggio 1: archiviazione dovrebbe mostrare un segno di spunta verde per indicarne l'esito positivo. Mantenere aperta la pagina per proseguire con il passaggio successivo.

Confermare la proprietà del dominio

1. Nella stessa pagina Configurazione certificato della sezione precedente selezionare Passaggio 2: Verifica.

   

2. Selezionare Verifica del servizio app. Poiché il dominio è stato mappato all'app Web in precedenza in questa sezione, il dominio è già verificato. Per completare questo passaggio, selezionare Verifica e quindi selezionare Aggiorna fino a quando non viene visualizzato il messaggio Certificato verificato dominio .

Sono supportati i metodi di verifica del dominio seguenti:

metodo	Descrizione
Verifica del servizio app	La soluzione più conveniente quando il dominio è già mappato a un'app App Service nella stessa sottoscrizione, perché l'app App Service ha verificato la proprietà del dominio. Esaminare l'ultimo passaggio in Confermare la proprietà del dominio.
Verifica del dominio	Verificare un dominio del Servizio app acquistato da Azure. Azure aggiunge automaticamente il record TXT di verifica e termina il processo.
Verifica della posta elettronica	Confermare il dominio inviando un messaggio di posta elettronica all'amministratore di dominio. Quando si seleziona questa opzione, vengono fornite istruzioni.
Verifica manuale	Confermare il dominio usando un record TXT DNS (Domain Name System) o una pagina HTML. (Quest'ultimo si applica solo ai certificati Standard. Vedere la nota seguente.) I passaggi vengono forniti dopo aver selezionato l'opzione. L'opzione pagina HTML non funziona per le app Web con Solo HTTPS abilitato. Per la verifica del dominio tramite record TXT DNS per il dominio radice (ad esempio, contoso.com) o il sottodominio (ad esempio, www.contoso.com o test.api.contoso.com) e indipendentemente dallo SKU del certificato, è necessario aggiungere un record TXT a livello di dominio radice. Usare @ per il nome e il token di verifica del dominio per il valore nel record DNS.

Importante

Con il certificato Standard, si otterrà un certificato per il dominio di primo livello richiesto e il sottodominio www, ad esempio contoso.com e www.contoso.com. La verifica di App Service e la verifica manuale utilizzano entrambe la verifica della pagina HTML, che non supporta il www sottodominio quando si emette, si rigenera la chiave o si rinnova un certificato. Per il certificato Standard, usare la verifica del dominio e la verifica della posta elettronica per includere il www sottodominio con il dominio di primo livello richiesto nel certificato.

Una volta verificato il certificato per il dominio, puoi importarlo in un'app del servizio applicativo.

Rinnovare un certificato del servizio app di Azure

Per impostazione predefinita, i certificati del servizio app hanno un periodo di validità di un anno. Prima della data di scadenza, è possibile rinnovare automaticamente o manualmente i certificati del Servizio app con incrementi di un anno. Il processo di rinnovo offre, di fatto, un nuovo certificato del servizio app con la data di scadenza estesa a un anno dalla data di scadenza del certificato esistente.

A partire dal 23 settembre 2021, se il dominio non è stato verificato negli ultimi 395 giorni, i certificati del servizio app richiedono la verifica del dominio durante un processo di rinnovo, rinnovo automatico o reimpostazione della chiave. Il nuovo ordine di certificato rimane in modalità di rilascio in sospeso durante il rinnovo, la riattivazione automatica o il processo di reimpostazione della chiave fino a quando non si completa la verifica del dominio.

A differenza del certificato gestito del servizio app gratuito, i certificati del servizio app acquistati non hanno la riverificazione automatica del dominio. Se non si verifica la proprietà del dominio, i rinnovi falliranno, Per altre informazioni su come verificare il certificato del Servizio app, vedere Confermare la proprietà del dominio.

Il processo di rinnovo richiede che l'entità servizio per il servizio app disponga delle autorizzazioni necessarie per l'insieme di credenziali delle chiavi. Queste autorizzazioni vengono configurate durante l’importazione di un certificato del Servizio app tramite il portale di Azure. Assicurarsi di non rimuovere queste autorizzazioni dall'insieme di credenziali delle chiavi.

1. Per modificare l'impostazione di rinnovo automatico per il certificato del Servizio app in qualsiasi momento, selezionare il certificato nella pagina Certificati del servizio app.

2. Nel riquadro sinistro selezionare Rinnovo automatico impostazioni.

3. Selezionare Attivato o Disattivato e quindi Salva.

   Se si attiva il rinnovo automatico, i certificati possono iniziare a essere rinnovati automaticamente 32 giorni prima della scadenza.

   

4. Per rinnovare manualmente il certificato, selezionare Rinnovo manuale. È possibile richiedere di rinnovare manualmente il certificato 60 giorni prima della scadenza, ma i certificati non possono essere rilasciati per più di 397 giorni.

5. Al termine dell'operazione di rinnovo, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Se non si seleziona Sincronizza, il Servizio app sincronizzerà automaticamente il certificato entro 24 ore.

Reimpostare la chiave di un certificato del servizio app

Se si ritiene che la chiave privata del certificato sia compromessa, è possibile reimpostarla. Questa azione ruota il certificato con un nuovo certificato emesso dall'autorità di certificazione.

A partire dal 23 settembre 2021, se il dominio non è stato verificato negli ultimi 395 giorni, i certificati del servizio app richiedono la verifica del dominio durante un processo di rinnovo, rinnovo automatico o reimpostazione della chiave. Il nuovo ordine di certificato rimane in modalità di rilascio in sospeso durante il rinnovo, la riattivazione automatica o il processo di reimpostazione della chiave fino a quando non si completa la verifica del dominio.

A differenza del certificato gestito del servizio app gratuito, i certificati del servizio app acquistati non hanno la riverificazione automatica del dominio. Se non si verifica la proprietà del dominio, i rinnovi falliranno, Per altre informazioni su come verificare il certificato del Servizio app, vedere Confermare la proprietà del dominio.

Il processo di reimpostazione della chiave richiede che l'entità servizio per servizio app disponga delle autorizzazioni necessarie per l'insieme di credenziali delle chiavi. Queste autorizzazioni vengono configurate durante l’importazione di un certificato del Servizio app tramite il portale di Azure. Assicurarsi di non rimuovere queste autorizzazioni dall'insieme di credenziali delle chiavi.

1. Nella pagina Certificati del servizio app, selezionare il certificato. Nel riquadro sinistro selezionare Reimposta e sincronizza.

2. Per avviare il processo, selezionare Reimposta chiave. Il completamento di questo processo può richiedere da 1 a 10 minuti.

   

3. Potrebbe anche essere necessario riconfermare la proprietà del dominio.

4. Al termine dell'operazione di reimpostazione della chiave, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Se non si seleziona Sincronizza, il Servizio app sincronizzerà automaticamente il certificato entro 24 ore.

Esportare un certificato del Servizio app

Poiché un certificato del Servizio App è un segreto di Key Vault, puoi esportare una copia come un file .pfx, che puoi usare per altri servizi di Azure o all'esterno di Azure.

Il certificato esportato è un artefatto non gestito. Il servizio app non sincronizza tali artefatti quando il certificato del servizio app viene rinnovato. Quando necessario, esportare e installare il certificato rinnovato.

Portale di Azure

1. Nella pagina Certificati del servizio app, selezionare il certificato.

2. Nel riquadro sinistro selezionare Esporta certificato.

3. Selezionare Apri segreto di Key Vault.

4. Selezionare la versione corrente del certificato.

5. Selezionare Scarica come certificato.

Interfaccia della riga di comando di Azure

Eseguire i comandi seguenti in Azure Cloud Shell oppure eseguirli in locale se è stata installata l'interfaccia della riga di comando di Azure. Sostituire i segnaposto con i nomi usati all’acquistato del certificato del Servizio app.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Il file pfx scaricato è un file PKCS12 non elaborato che contiene sia i certificati pubblici che privati e ha una password di importazione che è una stringa vuota. È possibile installare il file in locale lasciando vuoto il campo della password. Non è possibile caricare il file così come è nel servizio app perché il file non è protetto da password.

Usare Azure Advisor per i certificati del servizio app

Un certificato di App Service è integrato con Azure Advisor per fornire raccomandazioni sulla affidabilità quando il tuo certificato necessita della verifica del dominio. Se il dominio non è stato verificato negli ultimi 395 giorni, è necessario verificare la proprietà del dominio per il certificato durante il processo di rinnovo, rinnovo automatico o reimpostazione della chiave. Per assicurarsi di non perdere alcun certificato che richieda la verifica o il rischio che un certificato scada, usare Advisor per visualizzare e configurare avvisi per il certificato del servizio app.

Visualizzare le raccomandazioni di Advisor

Per visualizzare le raccomandazioni di Advisor per il certificato del servizio app:

1. Passare alla pagina di Azure Advisor.

2. Nel riquadro sinistro selezionare Raccomandazioni>affidabilità.

3. Selezionare l'opzione di filtro Tipo uguale e cercare App Service Certificates nell'elenco a discesa. Se il valore non esiste nell'elenco a discesa, significa che non è stata generata alcuna raccomandazione per le risorse del certificato del servizio app perché nessuna di esse richiede la verifica della proprietà del dominio.

Creare avvisi di Advisor

Gli avvisi di Advisor vengono creati in base a nuove raccomandazioni usando configurazioni diverse. Per configurare gli avvisi di Advisor in modo specifico per un certificato del servizio app in modo da poter ricevere notifiche quando il certificato richiede la convalida della proprietà del dominio:

1. Passare alla pagina di Azure Advisor.

2. Nel riquadro sinistro selezionare Monitoraggio>avvisi (anteprima).

3. Selezionare + Nuovo avviso di Advisor nella barra in alto per aprire il riquadro Crea avvisi di Advisor .

4. In Condizione selezionare l'opzione seguente:

   Configurato da	Tipo di raccomandazione
   Tipo di raccomandazione	Verifica del dominio necessaria per rilasciare il certificato del servizio app.

5. Compilare il resto dei campi obbligatori e quindi selezionare Crea avviso.

Eliminare un certificato del servizio app

Se si elimina un certificato del servizio app, l'operazione di eliminazione è irreversibile e finale. Il risultato è un certificato revocato. Qualsiasi associazione nel Servizio App che usa il certificato diventa invalida.

1. Nella pagina Certificati del servizio app, selezionare il certificato.

2. Nel riquadro sinistro selezionare Panoramica>Elimina.

3. Quando la casella di conferma si apre, immettere il nome del certificato e quindi selezionare OK.

Domande frequenti

Perché il certificato del servizio app non ha un valore in Key Vault?

Il certificato del servizio app probabilmente non è ancora verificato nel dominio. Finché la proprietà del dominio non viene confermata, il certificato del Servizio app non è pronto per l'uso. Come segreto di un vault di chiavi, contiene un tag Initialize, e il suo valore e tipo di contenuto rimangono vuoti. Quando la proprietà del dominio viene confermata, il segreto del key vault mostra un valore e un contenuto, e il tag cambia in Ready.

Perché non è possibile esportare il certificato del servizio app con PowerShell?

Il certificato del servizio app probabilmente non è ancora verificato nel dominio. Finché la proprietà del dominio non viene confermata, il certificato del Servizio app non è pronto per l'uso.

Quali modifiche apporta il processo di creazione del certificato del servizio app all'insieme di credenziali delle chiavi esistente?

Il processo di creazione apporta le modifiche seguenti:

• Aggiunge due criteri di accesso nell'insieme di credenziali:
  • Servizio app di Microsoft Azure (o Microsoft.Azure.WebSites)
  • Provider di risorse CSM rivenditore di certificati Microsoft (o Microsoft.Azure.CertificateRegistration)
• Crea un blocco di eliminazione denominato AppServiceCertificateLock nell'insieme di credenziali per impedirne l'eliminazione inavvertita.

Contenuto correlato

• Proteggere un nome DNS personalizzato con un'associazione TLS/SSL nel Servizio app di Azure
• Applicare HTTPS
• Applicare TLS 1.1/1.2
• Usare un certificato TLS/SSL nel codice nel Servizio app di Azure
• Domande frequenti sulla creazione o l'eliminazione di risorse nel servizio app di Azure