Risolvere i problemi relativi al dominio e al certificato TLS/SSL in Servizio app di Azure

Quando si configura un dominio o un certificato TLS/SSL per le app Web nel Servizio app di Azure, potrebbero verificarsi i problemi comuni seguenti. Questo articolo illustra le possibili cause e soluzioni per questi problemi.

Oltre alle informazioni contenute in questo articolo, è possibile ottenere altre informazioni contattando gli esperti di Azure nei forum di Microsoft Q & A e Stack Overflow. In alternativa, è possibile inviare un evento imprevisto del supporto tecnico di Azure nel sito del supporto tecnico di Azure. Selezionare Ottieni supporto.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Problemi di certificati

Non è consentito aggiungere un'associazione di certificato TLS/SSL a un'app

Sintomo

Quando si aggiunge un'associazione TLS, si riceve il messaggio di errore seguente:

"Non è stato possibile aggiungere l'associazione SSL. Impossibile impostare il certificato per l'indirizzo VIP esistente perché tale certificato è già utilizzato da un altro indirizzo VIP."

Causa

Questo problema può verificarsi se sono presenti più associazioni TLS/SSL basate su IP per lo stesso indirizzo IP in più app. Ad esempio, l'app A ha un'associazione TLS/SSL basata su IP con un certificato precedente. L'app B ha un'associazione TLS/SSL basata su IP con un nuovo certificato per lo stesso indirizzo IP. Quando si aggiorna l'associazione TLS dell'app con il nuovo certificato, l'aggiornamento ha esito negativo perché lo stesso indirizzo IP viene usato per un'altra app e viene visualizzato il messaggio di errore.

Soluzione

Per risolvere il problema, provare uno dei metodi seguenti:

• Eliminare l'associazione TLS/SSL basata su IP nell'app che usa il certificato precedente.
• Creare una nuova associazione TLS/SSL basata su IP che usi il nuovo certificato.

Non è possibile eliminare un certificato

Sintomo

Quando si tenta di eliminare un certificato, viene visualizzato il messaggio di errore seguente:

"Impossibile eliminare il certificato perché è attualmente in uso in un'associazione TLS/SSL. Prima di poter eliminare il certificato, è necessario rimuovere l'associazione TLS/SSL."

Causa

Questo problema può verificarsi se il certificato è usato da un'altra app.

Soluzione

1. Rimuovere l'associazione TLS di quel certificato dalle app.
2. Provare a eliminare il certificato.
3. Se non è ancora possibile eliminare il certificato, ripulire la cache del browser Internet e riaprire il portale di Azure in una nuova finestra del browser. quindi provare a eliminare il certificato.

Non è possibile acquistare un certificato del servizio app

Sintomo

Non è possibile acquistare un certificato del servizio app di Azure nel portale di Azure.

Causa e soluzione

Questo problema può verificarsi per uno dei motivi seguenti:

• Il piano di servizio app è un piano tariffario gratuito o condiviso, che non supporta TLS.

  Soluzione: aggiornare il piano di Servizio app a Standard.

• L'abbonamento non ha una carta di credito valida.

  Soluzione: aggiungere una carta di credito valida per la sottoscrizione.

• L'offerta di sottoscrizione non supporta l'acquisto di un certificato del servizio app. Esempio: Microsoft Student.

  Soluzione: aggiornare la sottoscrizione.

• La sottoscrizione ha raggiunto il limite di acquisto consentito.

  Soluzione: i certificati del servizio app hanno un limite di 10 acquisti di certificati per i tipi di sottoscrizione con pagamento in base al consumo e Enterprise Agreement. Per gli altri tipi di sottoscrizioni, il limite è 3. Per aumentare il limite, contattare il supporto di Azure.

• Il certificato del servizio app è stato contrassegnato come illecito. È stato visualizzato il messaggio di errore seguente: "Il certificato è stato segnalato per una potenziale frode. È in corso l'esame della richiesta. Se il certificato non diventa utilizzabile entro 24 ore, contattare il supporto tecnico di Azure".

  Soluzione: se il certificato è contrassegnato come illecito e il problema non viene risolto entro 24 ore, attenersi alla procedura seguente:

  1. Accedere al portale di Azure.

  2. Passare a Certificati del servizio app e selezionare il certificato.

  3. Selezionare Configurazione del certificato>Passaggio 2: Verifica>Verifica del dominio. Questo passaggio invia una notifica di posta elettronica al provider del certificato di Azure per risolvere il problema.

Un certificato del servizio app è stato rinnovato ma nell'app viene mostrato il certificato precedente

Sintomo

Il certificato del servizio app è stato rinnovato, ma l'app in questione usa ancora il certificato precedente. È anche possibile che venga visualizzato un avviso che indica che è necessario il protocollo HTTPS.

Causa 1: autorizzazioni dei criteri di accesso mancanti nell'insieme di credenziali delle chiavi

L'insieme di credenziali delle chiavi usato per archiviare il certificato del servizio app non ha autorizzazioni per i criteri di accesso nell'insieme di credenziali delle chiavi per Microsoft.Azure.Websites e Microsoft.Azure.CertificateRegistration. Le entità servizio e le relative autorizzazioni necessarie per l'accesso a Key Vault sono:

Service Principal	Autorizzazioni per i segreti	Autorizzazioni per i certificati
Servizio app di Microsoft Azure	Recupero	Recupero
Microsoft.Azure.CertificateRegistration	Ottieni, Elenca, Elimina	Ottieni, Elenca

Soluzione 1: modificare i criteri di accesso per l'insieme di credenziali delle chiavi

Per modificare i criteri di accesso per l'insieme di credenziali delle chiavi, seguire questa procedura:

1. Accedere al portale di Azure. Selezionare l'insieme di credenziali delle chiavi usato dal certificato del Servizio app. Passare a Criteri di accesso.
2. Se non vengono visualizzate le due entità servizio elencate, è necessario aggiungerle. Se sono disponibili, verificare che le autorizzazioni includano le autorizzazioni del segreto e del certificato consigliate.
3. Aggiungi un'entità principale di servizio selezionando Crea. Quindi, selezionare le autorizzazioni necessarie per le autorizzazioni Segreto e Certificato.
4. Per l'entità servizio immettere i valori ottenuti in precedenza dalla casella di ricerca. Selezionare quindi l'entità servizio.

Causa 2: Il servizio app non è sincronizzato con il nuovo certificato

Il Servizio app sincronizza automaticamente il certificato entro 48 ore. Quando si ruota o si aggiorna un certificato, in alcuni casi l'applicazione recupera ancora il certificato precedente e non il certificato appena aggiornato. Ciò si verifica perché il processo che sincronizza la risorsa certificato non è stato eseguito. Per risolvere questo problema, sincronizzare manualmente il certificato. La sincronizzazione aggiorna manualmente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.

Soluzione 2: forzare una sincronizzazione per il certificato

Per forzare una sincronizzazione per il certificato, seguire questa procedura:

1. Accedere al portale di Azure. Passare a Certificati del servizio app e selezionare il certificato.
2. Selezionare Reimposta chiavi e sincronizza, quindi selezionare Sincronizza. La sincronizzazione richiede tempo.
3. Al termine della sincronizzazione, viene visualizzata la notifica seguente: "Aggiornata correttamente tutte le risorse con il certificato più recente".

Il servizio app mostra il certificato errato

Sintomo

Quando si esplora il servizio app, viene presentato il certificato errato.

Causa

Questo problema può manifestarsi quando le associazioni SSL IP e SNI (Server Name Indication) sono configurate per il servizio app. Quando i client non SNI raggiungono l'endpoint SSL IP, il certificato SSL IP viene memorizzato nella cache. Anche se i client abilitati per SNI raggiungono il sito, vengono presentati il certificato SSL IP, causando la presentazione di un certificato non valido.

Soluzione

Assicurati di non usare associazioni SNI insieme alle associazioni IP SSL e naviga sempre al sito Web tramite URL di dominio personalizzato in caso di client non SNI. Se è necessario usare le associazioni SNI, assicurarsi che il certificato associato all'associazione IP SSL venga rilasciato per proteggere tutti gli URL configurati per il sito (incluse le associazioni SNI). Configurare lo stesso certificato per tutte le altre associazioni. Questo comportamento è impostato a livello di progettazione.

Problemi del dominio personalizzato

Un dominio personalizzato restituisce un errore 404

Sintomo

Quando si passa al sito usando il nome di dominio personalizzato, viene visualizzato il messaggio di errore "Errore 404 - App Web non trovata".

Causa e soluzione

Causa 1

Il dominio personalizzato configurato manca di un CNAME record o di un A record.

Soluzione per la causa 1

• Se si aggiunge un A record, assicurati di aggiungere anche un TXT record. Per altre informazioni, vedere Creare i record DNS.
• Se non è necessario usare il dominio radice per l'app, è consigliabile usare un CNAME record anziché un A record.
• Non usare sia un oggetto CNAME record che un A record per lo stesso dominio. Questo problema può causare un conflitto e impedire la risoluzione del dominio.

Causa 2

Nella cache del browser Internet potrebbe ancora essere memorizzato l'indirizzo IP precedente del dominio.

Soluzione per la causa 2

Eliminare i dati del browser. Per i dispositivi Windows, è possibile eseguire il comando ipconfig /flushdns. Usare WhatsmyDNS.net per verificare che il dominio punti all'indirizzo IP dell'app.

Non è possibile aggiungere un sottodominio

Sintomo

Non è possibile aggiungere un nuovo nome host a un'app per assegnare un sottodominio.

Soluzione

• Assicurarsi di disporre delle autorizzazioni per aggiungere un nome host a un'app chiedendo conferma all'amministratore della sottoscrizione.
• Se sono necessari più sottodomini, è consigliabile modificare l'hosting del dominio in DNS di Azure. Usando DNS Azure, è possibile aggiungere 500 nomi host all'app. Per altre informazioni, vedere Aggiungere un sottodominio.

Impossibile risolvere il DNS

Sintomo

È stato visualizzato il seguente messaggio di errore: "Impossibile trovare il record DNS".

Causa

Questo problema si verifica per uno dei motivi seguenti:

• Il periodo di durata (TTL) non è scaduto. Per determinare il valore TTL, controllare la configurazione DNS del dominio e attendere la scadenza del periodo.
• La configurazione DNS non è corretta.

Soluzione

• Attendere 48 ore perché questo problema venga risolto da solo.
• Se è possibile modificare l'impostazione TTL nella configurazione DNS, provare a modificare il valore a 5 minuti, il che potrebbe risolvere il problema.
• Usare WhatsmyDNS.net per verificare che il dominio punti all'indirizzo IP dell'app. Se il dominio non punta all'indirizzo IP, configurare il A record sull'indirizzo IP corretto dell'app.

È necessario ripristinare un dominio eliminato

Sintomo

Il dominio non è più visibile nel portale di Azure.

Causa

Il proprietario della sottoscrizione potrebbe aver eliminato inavvertitamente il dominio.

Soluzione

Se il dominio è stato eliminato da meno di sette giorni, il processo di eliminazione non sarà ancora stato avviato. In questo caso, è possibile acquistare nuovamente lo stesso dominio nel portale di Azure nella stessa sottoscrizione. Assicurarsi di digitare il nome di dominio esatto nella casella di ricerca. Non verrà applicato alcun nuovo addebito per questo dominio. Se il dominio è stato eliminato da più di sette giorni, contattare il supporto di Azure per istruzioni su come ripristinare il dominio.

Problemi di dominio

È stato acquistato un certificato TLS/SSL per il dominio errato

Sintomo

È stato acquistato un certificato del servizio app per il dominio errato. Non è possibile aggiornare il certificato per usare il dominio corretto.

Soluzione

Eliminare il certificato e quindi acquistarne uno nuovo.

Se il certificato corrente che usa il dominio errato si trova nello stato "Rilasciato", viene addebitato anche il certificato. I certificati del Servizio app non possono essere rimborsati, ma è possibile contattare il supporto tecnico di Azure per altre opzioni.

La verifica del dominio non funziona

Sintomo

Il certificato del servizio app richiede la verifica del dominio prima di essere pronto per l'uso. Quando si seleziona Verifica, il processo ha esito negativo.

Soluzione

Verificare manualmente il dominio aggiungendo un oggetto TXT record:

1. Andare sul provider DNS che ospita il nome di dominio.

2. Aggiungere un TXT record per il dominio che usa il valore del token di dominio dal portale di Azure.

3. Attendere alcuni minuti per l'esecuzione della propagazione del DNS e quindi selezionare il pulsante Aggiorna per attivare la verifica.

In alternativa, è possibile utilizzare il metodo Pagina Web HTML per verificare manualmente il dominio. Questo metodo consente all'autorità di certificazione (CA) di confermare la proprietà del dominio per cui viene rilasciato il certificato.

1. Creare un file HTML denominato {domain verification token}.html. Il file deve contenere il valore del token di verifica del dominio.

2. Caricare il file nella radice del server Web che ospita il dominio.

3. Selezionare Aggiorna per controllare lo stato del certificato. Il completamento della verifica potrebbe richiedere qualche minuto.

Ad esempio, se si acquista un certificato standard per azure.com con il token 1234abcddi verifica del dominio , una richiesta Web inviata a https://azure.com/1234abcd.html deve restituire 1234abcd.

Importante

Un acquisto di certificati ha 15 giorni solo per completare l'operazione di verifica del dominio. Dopo 15 giorni, la CA nega il certificato e non ti viene addebitato nulla per il certificato. In questo caso, eliminare il certificato e riprovare.

Non è possibile acquistare un dominio

Sintomo

Non è possibile acquistare un dominio del servizio app nel portale di Azure.

Causa e soluzione

Questo problema si verifica per uno dei motivi seguenti:

• Nessuna carta di credito nella sottoscrizione di Azure oppure la carta di credito non è valida.

  Soluzione: aggiungere una carta di credito valida per la sottoscrizione.

• Il tipo di sottoscrizione di Azure non supporta l'acquisto di un dominio del servizio app.

  Soluzione: aggiornare la sottoscrizione di Azure a un altro tipo di sottoscrizione, ad esempio una sottoscrizione con pagamento in base al consumo.

• A seconda del tipo di sottoscrizione, potrebbe essere necessario disporre di una cronologia di pagamento sufficiente prima di poter acquistare un dominio del servizio app.

  Soluzione: acquistare con una sottoscrizione diversa con una cronologia dei pagamenti o attendere fino a quando non si dispone di una cronologia dei pagamenti con l'abbonamento corrente.

• Chi non è proprietario della sottoscrizione non è autorizzato ad acquistare un dominio.

  Soluzione: assegnare il ruolo Proprietario al proprio account. In alternativa, contattare l'amministratore della sottoscrizione per ottenere l'autorizzazione ad acquistare un dominio.

Non è possibile aggiungere un nome host a un'app

Sintomo

Quando si aggiunge un nome host, il processo non riesce a convalidare e verificare il dominio.

Causa

Questo problema si verifica per uno dei motivi seguenti:

• Non si dispone dell'autorizzazione per aggiungere un nome host.

  Soluzione: chiedere all'amministratore della sottoscrizione di concedere l'autorizzazione per aggiungere un nome host.

• Non è stato possibile verificare la proprietà del dominio.

  Soluzione: verificare che CNAME record o A record sia configurato correttamente. Per eseguire il mapping di un dominio personalizzato a un'app, creare un CNAME record o un A record. Se si vuole usare un dominio radice, è necessario usare un A record e un TXT record:

  Tipo di record	Padrone di casa / Ospitante / Conduttore (depending on the intended context)	Punta a
  A	@	Indirizzo IP per l'app
  TXT	@	<app-name>.azurewebsites.net
  CNAME	www	<app-name>.azurewebsites.net

Domande frequenti

È necessario configurare il dominio personalizzato per il sito Web quando lo acquisto?

Quando si acquista un dominio dal portale di Azure, l'app del Servizio app viene configurata automaticamente per l'uso di tale dominio personalizzato. Non è necessario eseguire ulteriori passaggi. Per altre informazioni, vedere Self-help del servizio app di Azure: Aggiungere un nome di dominio personalizzato a Channel9.

È possibile usare un dominio acquistato nel portale di Azure per puntare invece a una macchina virtuale di Azure?

Sì, è possibile puntare il dominio a una macchina virtuale. Per altre informazioni, vedere Usare il servizio DNS di Azure per specificare impostazioni di dominio personalizzate per un servizio di Azure.

Il dominio è ospitato da GoDaddy o DNS di Azure?

I domini del servizio app usano GoDaddy per la registrazione del dominio e DNS di Azure per ospitare i domini.

Ho abilitato l'autorenew ma ho comunque ricevuto un avviso di rinnovo per il mio dominio tramite posta elettronica. Cosa devo fare?

Se è stato abilitato l'autorenew, non è necessario eseguire alcuna azione. Il messaggio di posta elettronica informa solo che il dominio è vicino alla scadenza e che è necessario rinnovare manualmente se l'autorenew non è abilitato.

Verranno addebitati costi per l'hosting del dominio DNS di Azure?

Il costo iniziale dell'acquisto di dominio si applica solo alla registrazione del dominio. Oltre al costo di registrazione, DNS di Azure comporta addebiti in base all'utilizzo. Per altre informazioni, vedere Prezzi di DNS di Azure.

Il dominio è stato acquistato in precedenza dal portale di Azure e si vuole passare dall'hosting GoDaddy all'hosting DNS di Azure. Come posso fare?

Non è necessario eseguire la migrazione all'hosting DNS di Azure. Se si vuole eseguire la migrazione a DNS di Azure, l'esperienza di gestione del dominio nel portale di Azure fornisce informazioni sui passaggi necessari per la migrazione a DNS di Azure. Se il dominio è stato acquistato tramite il Servizio app, la migrazione da GoDaddy hosting a DNS di Azure è una procedura relativamente semplice.

Si vuole acquistare il dominio dal servizio app, ma è possibile ospitare il dominio in GoDaddy invece di DNS di Azure?

A partire dal 24 luglio 2017, Azure ospita i domini del Servizio app acquistati dal portale di Azure in DNS di Azure. Se si preferisce usare un provider di hosting diverso, è necessario passare al sito Web per ottenere una soluzione di hosting del dominio.

È necessario pagare per la protezione della privacy per il dominio?

Quando si acquista un dominio tramite il portale di Azure, è possibile scegliere di aggiungere protezione della privacy senza costi aggiuntivi. Questo vantaggio è incluso quando si acquista il dominio tramite il servizio app di Azure.

Se si decide di non volere più un dominio, è possibile ottenere un rimborso?

Quando si acquista un dominio, non viene addebitato alcun importo per cinque giorni (con un'eccezione). Durante questo periodo, è possibile decidere se tenere il dominio. Se si sceglie di non tenere il dominio entro questo periodo di tempo, non avverrà alcun addebito. I domini che terminano con .uk sono l'eccezione. Se si acquista un .uk dominio, vengono addebitati immediatamente i costi e non è possibile ottenere un rimborso.

È possibile usare il dominio in un'altra app del Servizio app di Azure nel proprio abbonamento?

Sì, quando si accede alle pagine Domini personalizzati e Certificati nel portale di Azure, si visualizzeranno i domini acquistati. È possibile configurare l'app per l'uso di uno di questi domini.

È possibile trasferire un dominio da una sottoscrizione a un'altra?

Sì, è possibile spostare un dominio in un'altra sottoscrizione o in un altro gruppo di risorse usando il Move-AzResource cmdlet di PowerShell.

Come è possibile gestire il dominio personalizzato se attualmente non è disponibile un'app del servizio app di Azure?

È possibile gestire il dominio anche se non si dispone di un'app Web del servizio app. È possibile usare il dominio per i servizi di Azure, ad esempio Macchine virtuali di Azure, Archiviazione di Azure e così via. Se si prevede di usare il dominio per le app Web del servizio app, è necessario includere un'app Web che non si trova in un livello di servizio app gratuito in modo che sia possibile associare il dominio all'app Web.

È possibile spostare un'app Web con un dominio personalizzato in un'altra sottoscrizione o dall'ambiente del servizio app versione 1 alla versione 2?

Sì, è possibile spostare l'app Web tra sottoscrizioni. Seguire le indicazioni contenute in Come spostare risorse in Azure. Alcune limitazioni si applicano nello spostamento di un'app Web. Per altre informazioni, vedere Limitazioni per lo spostamento di risorse del servizio app.

Dopo aver spostato un'app Web, le associazioni dei nomi host dei domini all'interno dell'impostazione dei domini personalizzati dovrebbero rimanere invariate. Non sono necessari passaggi aggiuntivi per configurare le associazioni dei nomi host.

Quali formati di file vengono restituiti quando si scarica il certificato di App Service dal suo Key Vault?

Quando si seleziona Scarica come certificato per il certificato del servizio app nell'archivio delle chiavi/segreti, il formato del file di certificato è .pfx. Nessuna password viene applicata al file.

Quale formato di file è possibile usare per caricare un certificato nel servizio app?

Il formato del file di certificato deve essere un file .pfx con applicata una password. Il certificato deve soddisfare anche i requisiti del certificato.

Se il certificato è stato ottenuto da una CA di terze parti e il formato di file è un formato con estensione pem/.key, è possibile usare uno strumento come OpenSSL per convertire i file in un formato di file con estensione pfx. La chiave privata deve essere inclusa durante la conversione perché il formato di file pfx lo richiede.

Inoltre, se la CA fornisce più certificati nella catena di certificati, è necessario unire i certificati seguendo lo stesso ordine. Per altre informazioni, vedere Unire i certificati intermedi.

Come si genera una richiesta di firma del certificato per un certificato del servizio app?

Per un certificato del servizio app, è possibile acquistare tramite il portale di Azure o usando un comando di Powershell/CLI. Non è necessaria una richiesta di firma del certificato. Azure Key Vault supporta tuttavia l'archiviazione di certificati digitali rilasciati da qualsiasi AUTORITÀ di certificazione. Supporta la creazione di una richiesta di firma del certificato con una coppia di chiavi privata/pubblica. La richiesta di firma del certificato può essere firmata da qualsiasi AUTORITÀ di certificazione (un'autorità di certificazione aziendale interna o un'autorità di certificazione pubblica esterna). Per altre informazioni, vedere Creare una richiesta di firma del certificato.