Configurare i certificati di sicurezza
Il Servizio app di Azure include strumenti che consentono di creare, caricare o importare un certificato privato o un certificato pubblico nel servizio app.
Un certificato caricato in un'app viene archiviato in un'unità di distribuzione associata alla combinazione di aree e gruppi di risorse del piano di servizio app ,denominata internamente spazio Web. Il certificato è accessibile ad altre app nello stesso gruppo di risorse e nella stessa combinazione di aree.
La tabella seguente elenca le opzioni disponibili per aggiungere certificati nel servizio app:
| Opzione | Descrizione |
|---|---|
| Creazione di un certificato gestito dal servizio app gratuito | Certificato privato gratuito e facile da usare se è sufficiente proteggere il dominio personalizzato nel servizio app. |
| Acquisto di un certificato del servizio app | Un certificato privato gestito da Azure. Questa opzione combina la semplicità della gestione automatizzata dei certificati e la flessibilità delle opzioni di rinnovo e di esportazione. |
| Importazione di un certificato da Key Vault | Utile se si usa Azure Key Vault per gestire i certificati. |
| Caricamento di un certificato privato | Se si ha già un certificato privato rilasciato da un provider di terze parti, è possibile caricarlo. |
| Caricamento di un certificato pubblico | I certificati pubblici non vengono usati per proteggere i domini personalizzati, ma è possibile caricarli nel codice se sono necessari per accedere a risorse remote. |
Requisiti dei certificati privati
Il certificato gestito di App Service gratuito e il certificato App Service soddisfano già i requisiti di App Service. Se si vuole usare un certificato privato nel servizio app, il certificato deve soddisfare questi requisiti:
- Esportato come file PFX protetto da password, crittografato con Triple DES.
- Contiene almeno 2.048 bit di chiave privata.
- Deve contenere tutti i certificati intermedi e il certificato radice nella catena di certificati.
Per proteggere un dominio personalizzato in un'associazione TLS/SSL, il certificato presenta altri requisiti:
- Contiene un'estensione di utilizzo chiavi avanzato per l'autenticazione server (OID = 1.3.6.1.5.5.7.3.1)
- Essere firmato da un'autorità di certificazione attendibile
Creazione di un certificato gestito gratuito
Per creare binding TLS/SSL personalizzati o abilitare i certificati del client per la tua app di App Service, il piano di App Service deve essere nel livello Basic, Standard, Premium o Isolato.
Il certificato gratuito gestito dal servizio app è una soluzione rapida ed efficace per proteggere il proprio nome DNS personalizzato nel servizio app. Si tratta di un certificato server TLS/SSL completamente gestito dal servizio app e rinnovato in modo continuo e automatico in incrementi di sei mesi, 45 giorni prima della scadenza. Si crea il certificato e lo si associa a un dominio personalizzato e il servizio app esegue automaticamente le altre operazioni.
Importante
Prima di creare un certificato gestito gratuito, assicurarsi di soddisfare i prerequisiti per l'app. I certificati gratuiti vengono emessi da DigiCert. Per alcuni domini, è necessario consentire in modo esplicito DigiCert come autorità di certificazione creando un record di dominio CAA con il valore 0 issue digicert.com. Azure gestisce completamente i certificati per conto dell'utente, in modo che qualsiasi aspetto del certificato gestito, incluso l'emittente radice, possa cambiare in qualsiasi momento. Queste modifiche sono esterne al controllo. Assicurarsi di evitare dipendenze rigide e certificati di procedura di associazione al certificato gestito o a qualsiasi parte della gerarchia di certificati.
Il certificato gratuito presenta le limitazioni seguenti:
- Non supporta i certificati con caratteri jolly.
- Non supporta l'utilizzo come certificato client usando l'identificazione personale del certificato. Questa funzionalità è pianificata per la deprecazione e la rimozione.
- Non supporta il DNS privato.
- Non è esportabile.
- Non è supportato in un ambiente del servizio app.
- Supporta solo caratteri alfanumerici, trattini (-) e punti (.).
- Sono supportati solo domini personalizzati di lunghezza fino a 64 caratteri.
Importare un certificato del servizio app
Se si acquista un certificato del servizio app da Azure, Azure gestisce le attività seguenti:
- Si occupa del processo di acquisto dal provider di certificati.
- Esegue la verifica del dominio del certificato.
- Gestisce il certificato in Azure Key Vault.
- Gestisce il rinnovo del certificato.
- Sincronizza automaticamente il certificato con le copie importate nelle app del servizio app.
Se si ha già un certificato del servizio app funzionante, è possibile:
- Importare il certificato nel servizio app.
- Gestire il certificato, ad esempio rinnovarlo, reimpostare la chiave ed esportarlo.
Nota
I certificati del servizio app non sono attualmente supportati nei cloud nazionali di Azure.