Creare e gestire un certificato del Servizio app per la peopria app Web

Questo articolo illustra come creare un certificato del Servizio app ed eseguire attività di gestione come il rinnovo, la sincronizzazione e l'eliminazione di certificati. Dopo aver ottenuto un certificato del Servizio app, è possibile importarlo in un'app del Servizio app. Un certificato del Servizio app è un certificato privato gestito da Azure. Questa opzione combina la semplicità della gestione automatizzata dei certificati e la flessibilità delle opzioni di rinnovo e di esportazione.

Se si acquista un certificato del Servizio app da Azure, Azure gestisce le attività seguenti:

• Gestisce il processo di acquisto da GoDaddy.
• Esegue la verifica del dominio del certificato.
• Gestisce il certificato in Azure Key Vault.
• Gestisce il rinnovo del certificato.
• Sincronizza automaticamente il certificato con le copie importate nelle app del Servizio app.

Nota

Dopo aver caricato un certificato su un'app, questo viene archiviato in un'unità di distribuzione associata alla combinazione di gruppo di risorse, area e sistema operativo del piano di servizio app, denominata internamente spazio Web. In questo modo, il certificato è accessibile ad altre app nella stessa combinazione di gruppo di risorse e area. I certificati caricati o importati nel servizio app vengono condivisi con i Servizi app nella stessa unità di distribuzione.

Prerequisiti

• Creare un'app del Servizio app di Azure. Il piano di Servizio app dell'app deve essere di livello Basic, Standard, Premium o Isolato. Vedere Aumentare le prestazioni di un'app per aggiornare il livello.

Nota

Attualmente, i certificati del Servizio app non sono supportati nei cloud nazionali di Azure.

Acquistare e configurare un certificato del Servizio app

Acquistare il certificato

1. Passare alla pagina Crea certificato del Servizio app per avviare l'acquisto.

   Nota

   I certificati del servizio app acquistati da Azure vengono rilasciati da GoDaddy. Per alcuni domini, è necessario consentire in modo esplicito GoDaddy come autorità di certificazione creando un record di dominio CAA con il valore 0 issue godaddy.com.

   

2. Per configurare il certificato, usare la tabella seguente. Al termine della configurazione, selezionare Rivedi e crea e quindi Crea.

   Impostazione	Descrizione
   Abbonamento	Sottoscrizione di Azure da associare al certificato.
   Gruppo di risorse	Gruppo di risorse che conterrà il certificato. È possibile creare un nuovo gruppo di risorse o selezionare lo stesso gruppo di risorse dell'app del Servizio app.
   SKU	Determina il tipo di certificato da creare, se si tratti di un certificato standard o di un certificato con caratteri jolly.
   Nome host dominio Naked	Specificare il dominio radice. Il certificato rilasciato garantisce la sicurezza sia per il dominio radice che per il sottodominio www. Nel certificato emesso, il campo Nome comune specifica il dominio radice e il campo Nome alternativo soggetto specifica il dominio www. Per garantire la sicurezza solo per un sottodominio, specificare il nome di dominio completo per il sottodominio, ad esempio mysubdomain.contoso.com.
   Nome certificato	Nome descrittivo del certificato del Servizio app.
   Abilitare il rinnovo automatico	Selezionare se rinnovare automaticamente il certificato prima della scadenza. Ogni rinnovo estende la scadenza del certificato di un anno. Il costo viene addebitato alla sottoscrizione.

3. Al termine della distribuzione, selezionare Vai alla risorsa.

Archiviare il certificato in Azure Key Vault

Il Key Vault è un servizio di Azure che consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud. Per i certificati del Servizio app, è consigliabile usare Key Vault. Dopo aver completato il processo di acquisto del certificato, è necessario completare alcuni passaggi prima di iniziare a usarlo.

1. Nella pagina Certificati del servizio app, selezionare il certificato. Nel menu del certificato, selezionare Configurazione certificato >Passaggio 1: archiviazione.

   

2. Nella pagina Stato di Key Vault, selezionare Seleziona da Key Vault .

3. Se si crea un nuovo insieme di credenziali, configurare l'insieme di credenziali in base alla tabella seguente e assicurarsi di usare la stessa sottoscrizione e gruppo di risorse dell'app del Servizio app.

   Impostazione	Descrizione
   Gruppo di risorse	Elemento consigliato: lo stesso gruppo di risorse del certificato del servizio app.
   Nome dell'insieme di credenziali delle chiavi	Nome univoco che usa solo caratteri alfanumerici e trattini.
   Area	La stessa posizione dell'app del Servizio app.
   Piano tariffario	Per altre informazioni, vedere Prezzi di Azure Key Vault.
   Giorni di conservazione degli insiemi di credenziali eliminati	Numero di giorni per cui gli oggetti rimangono recuperabili a seguito di eliminazione. (Vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.) Impostare un valore compreso tra 7 e 90.
   Protezione dalla rimozione definitiva	Se si abilita questa opzione, tutti gli oggetti eliminati rimangono nello stato di eliminazione temporanea per l'intera durata del periodo di conservazione.

4. Selezionare Avanti e quindi selezionare Criteri di accesso all'insieme di credenziali. Attualmente, i certificati del Servizio app supportano solo i criteri di accesso di Key Vault e non il modello di controllo degli accessi in base al ruolo.

5. Seleziona Rivedi e crea e quindi seleziona Crea.

6. Dopo aver creato l'insieme di credenziali delle chiavi, non selezionare Vai alla risorsa. Attendere il ricaricamento della pagina Seleziona insieme di credenziali delle chiavi da Azure Key Vault.

7. Seleziona Seleziona.

8. Dopo aver selezionato l'insieme di credenziali, chiudere la pagina Repository di Key Vault. L'opzione Passaggio 1: archiviazione dovrebbe mostrare un segno di spunta verde per indicarne l'esito positivo. Mantenere aperta la pagina per proseguire con il passaggio successivo.

Confermare la proprietà del dominio

1. Nella stessa pagina Configurazione certificato della sezione precedente, selezionare Passaggio 2: verifica.

   

2. Selezionare Verifica del servizio app. Poiché il dominio è stato mappato all'app Web in precedenza in questa sezione, il dominio è già verificato. Per completare questo passaggio, selezionare Verificae quindi Aggiorna fino a quando non verrà visualizzato il messaggio Dominio verificato per il certificato.

Sono supportati i metodi di verifica del dominio seguenti:

metodo	Descrizione
Verifica del servizio app	L'opzione più pratica consiste in quando il dominio è già mappato a un'app del Servizio app nella stessa sottoscrizione perché l'app del Servizio app ha già verificato la proprietà del dominio. Esaminare l'ultimo passaggio in Confermare la proprietà del dominio.
Verifica del dominio	Verificare un dominio del Servizio app acquistato da Azure. Azure aggiunge automaticamente il record TXT di verifica e completa il processo.
Verifica tramite posta elettronica	Confermare il dominio inviando un messaggio di posta elettronica all'amministratore di dominio. Quando si seleziona questa opzione, vengono fornite istruzioni.
Verifica manuale	Confermare il dominio usando un record TXT DNS o una pagina HTML. (Quest'ultimo si applica solo ai certificati Standard. Vedere la nota seguente.) I passaggi vengono forniti dopo aver selezionato l'opzione. L'opzione pagina HTML non funziona per le app Web con Solo HTTPS abilitato. Per la verifica del dominio tramite record TXT DNS per il dominio radice (ad esempio, contoso.com) o il sottodominio (ad esempio, www.contoso.com o test.api.contoso.com) e indipendentemente dallo SKU del certificato, è necessario aggiungere un record TXT a livello di dominio radice usando @ per il nome e il token di verifica del dominio per il valore nel record DNS.

Importante

Con il certificato Standard, si otterrà un certificato per il dominio di primo livello richiesto e il sottodominio www, ad esempio contoso.com e www.contoso.com. Tuttavia, la verifica del Servizio app e quella manuale usano entrambe la verifica di pagina HTML, che non supporta il sottodominio www quando si rilascia, reimposta o rinnova un certificato. Per il certificato Standard, usare la Verifica di dominio e la Verifica di posta elettronica per includere il sottodominio www con il dominio di primo livello richiesto nel certificato.

Dopo aver verificato il certificato, è possibile importarlo in un'app del Servizio app.

Rinnovare un certificato del servizio app di Azure

Per impostazione predefinita, i certificati del servizio app hanno un periodo di validità di un anno. Prima della data di scadenza, è possibile rinnovare automaticamente o manualmente i certificati del Servizio app con incrementi di un anno. Il processo di rinnovo offre, di fatto, un nuovo certificato del servizio app con la data di scadenza estesa a un anno dalla data di scadenza del certificato esistente.

Nota

A partire dal 23 settembre 2021, se il dominio non è stato verificato negli ultimi 395 giorni, servizio app certificati richiedono la verifica del dominio durante un processo di rinnovo, rinnovo automatico o reimpostazione della chiave. Il nuovo ordine di certificato rimane in modalità di rilascio in sospeso durante il rinnovo, il rinnovo automatico o il processo di reimpostazione della chiave fino a quando non si completa la verifica del dominio.

A differenza del certificato gestito del Servizio app gratuito, i certificati del Servizio app acquistati non prevedono la verifica automatica del dominio. Se non si verifica la proprietà del dominio, i rinnovi falliranno, Per altre informazioni su come verificare il certificato del Servizio app, vedere Confermare la proprietà del dominio.

Il processo di rinnovo richiede che l'entità servizio per il servizio app disponga delle autorizzazioni necessarie per l'insieme di credenziali delle chiavi. Queste autorizzazioni vengono configurate durante l’importazione di un certificato del Servizio app tramite il portale di Azure. Assicurarsi di non rimuovere queste autorizzazioni dall'insieme di credenziali delle chiavi.

1. Per modificare l'impostazione di rinnovo automatico per il certificato del Servizio app in qualsiasi momento, selezionare il certificato nella pagina Certificati del servizio app.

2. Nel menu a sinistra, selezionare Impostazioni rinnovo automatico.

3. Selezionare Attivato o Disattivato e quindi Salva.

   Se si attiva il rinnovo automatico, i certificati possono iniziare a essere rinnovati automaticamente 32 giorni prima della scadenza.

   

4. Per rinnovare manualmente il certificato, selezionare Rinnovo manuale. È possibile richiedere di rinnovare manualmente il certificato 60 giorni prima della scadenza, ma i certificati non possono essere rilasciati per più di 397 giorni.

5. Al termine dell'operazione di rinnovo, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Nota

   Se non si seleziona Sincronizza, il Servizio app sincronizzerà automaticamente il certificato entro 24 ore.

Reimpostare la chiave di un certificato del servizio app

Se si ritiene che la chiave privata del certificato sia compromessa, è possibile reimpostarla. Questa azione ruota il certificato con un nuovo certificato emesso dall'autorità di certificazione.

1. Nella pagina Certificati del servizio app, selezionare il certificato. Nel menu a sinistra, selezionare Reimposta chiave e sincronizza.

2. Per avviare il processo, selezionare Reimposta chiave. Questo processo può richiedere da 1 a 10 minuti.

   

3. Potrebbe anche essere necessario riconfermare la proprietà del dominio.

4. Al termine dell'operazione di reimpostazione della chiave, selezionare Sincronizza.

   L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

   Nota

   Se non si seleziona Sincronizza, il Servizio app sincronizzerà automaticamente il certificato entro 24 ore.

Esportare un certificato del Servizio app

Poiché un certificato del Servizio app è un segreto di Key Vault, è possibile esportarne una copia come file PFX che può essere usata per altri servizi di Azure o all'esterno di Azure.

Importante

Il certificato esportato è un artefatto non gestito. Il Servizio app non sincronizza tali artefatti al rinnovo del certificato del Servizio app. Quando necessario, esportare e installare il certificato rinnovato.

Azure portal

1. Nella pagina Certificati del servizio app, selezionare il certificato.

2. Nel menu a sinistra, selezionare Esporta certificato.

3. Selezionare Apri segreto di Key Vault.

4. Selezionare la versione corrente del certificato.

5. Selezionare Scarica come certificato.

Interfaccia della riga di comando di Azure

Eseguire i comandi seguenti in Azure Cloud Shelloppure in locale se si ha installata l'interfaccia della riga di comando di Azure. Sostituire i segnaposto con i nomi usati all’acquistato del certificato del Servizio app.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Il file PFX scaricato è un file PKCS12 non elaborato che contiene sia i certificati pubblici che privati e ha una password di importazione che consiste in una stringa vuota. È possibile installare il file in locale lasciando vuoto il campo della password. Non è possibile caricare il file così come è nel Servizio app, poiché non è protetto da password.

Usare Azure Advisor per servizio app certificato

servizio app certificato è integrato con Azure Advisor per fornire raccomandazioni per l'affidabilità per quando il certificato richiede la verifica del dominio. È necessario verificare la proprietà del dominio per il certificato durante il rinnovo, il rinnovo automatico o il processo di reimpostazione della chiave se il dominio non è stato verificato negli ultimi 395 giorni. Per assicurarsi di non perdere alcun certificato che richieda la verifica o il rischio che qualsiasi certificato scada, è possibile impostare Azure Advisor per visualizzare e configurare avvisi per servizio app certificato.

Visualizzare la raccomandazione di Advisor

Per visualizzare le raccomandazioni di Advisor per servizio app certificato:

1. Passare alla pagina di Azure Advisor.

2. Dal menu a sinistra selezionare Raccomandazioni>affidabilità

3. Selezionare l'opzione di filtro Type equals (Tipo) e cercare servizio app Certificates (Certificati) dall'elenco a discesa. Se il valore non esiste nel menu a discesa, significa che non è stata generata alcuna raccomandazione per le risorse del certificato servizio app perché nessuna di esse richiede la verifica della proprietà del dominio.

Creare avvisi di Advisor

È possibile [creare avvisi di Azure Advisor per i nuovi consigli] usando configurazioni diverse. Per configurare avvisi di Advisor in modo specifico per il certificato di App Serivice, in modo da poter ricevere notifiche quando il certificato richiede la convalida della proprietà del dominio:

1. Passare alla pagina di Azure Advisor.

2. Dal menu a sinistra selezionare Monitoraggio>avvisi (anteprima)

3. Fare clic su + Nuovo avviso di Advisor sulla barra delle azioni nella parte superiore. Verrà aperto un nuovo pannello denominato "Crea avvisi di Advisor".

4. In Condizione selezionare quanto segue:

   Configurato da	Tipo di raccomandazione
   Tipo di raccomandazione	Verifica del dominio necessaria per ottenere il certificato del tuo servizio app

5. Compilare il resto dei campi obbligatori, quindi selezionare il pulsante Crea avviso nella parte inferiore.

Eliminare un certificato del servizio app

Se si elimina un certificato del servizio app, l'operazione di eliminazione è irreversibile e finale. Il risultato è un certificato revocato e qualsiasi associazione nel Servizio app che usa il certificato non è valida.

1. Nella pagina Certificati del servizio app, selezionare il certificato.

2. Nel menu a sinistra, selezionare Panoramica>Elimina.

3. Quando la casella di conferma si apre, immettere il nome del certificato e quindi selezionare OK.

Domande frequenti

Il certificato del servizio app non ha alcun valore in Key Vault

È probabile che certificato del servizio app non sia ancora verificato per il dominio. Finché la proprietà del dominio non viene confermata, il certificato del Servizio app non è pronto per l'uso. Come segreto di Key Vault, mantiene un tag Initialize e il relativo valore e tipo di contenuto rimangono vuoti. Quando la proprietà del dominio viene confermata, il segreto dell'insieme di credenziali delle chiavi mostra un valore e un tipo di contenuto, e il tag cambia in Ready.

Non è possibile esportare il certificato del servizio app con PowerShell

È probabile che certificato del servizio app non sia ancora verificato per il dominio. Finché la proprietà del dominio non viene confermata, il certificato del Servizio app non è pronto per l'uso.

Quali modifiche apporta il processo di creazione del certificato del servizio app all'insieme di credenziali delle chiavi esistente?

Il processo di creazione apporta le modifiche seguenti:

• Aggiunge due criteri di accesso nell'insieme di credenziali:
  • Microsoft.Azure.WebSites (or Microsoft Azure App Service)
  • Provider di risorse CSM rivenditore di certificati Microsoft (o Microsoft.Azure.CertificateRegistration)
• Crea un blocco di eliminazione denominato AppServiceCertificateLock nell'insieme di credenziali per impedirne l'eliminazione inavvertita.

Contenuto correlato

• Proteggere un nome DNS personalizzato con un'associazione TLS/SSL nel Servizio app di Azure
• Applicare HTTPS
• Applicare TLS 1.1/1.2
• Usare un certificato TLS/SSL nel codice nel Servizio app di Azure
• Domande frequenti sulla creazione o l'eliminazione di risorse nel servizio app di Azure