セキュリティ証明書を構成する
会社のアプリと顧客の間で送信される情報をセキュリティで保護するのを支援するよう求められました。 Azure App Service には、プライベート証明書またはパブリック証明書を作成したり、App Service にアップロードまたはインポートしたりできるツールが用意されています。
アプリにアップロードされた証明書は、App Service プランのリソース グループとリージョンの組み合わせ (内部的には "Web 空間" と呼ばれる) にバインドされたデプロイ ユニットに格納されます。 こうして、リソース グループとリージョンの組み合わせが同じである他のアプリが証明書にアクセスできるようになります。
以下の表では、App Service で証明書を追加するためのオプションについて詳しく説明します。
| オプション | 説明 |
|---|---|
| 無料の App Service マネージド証明書を作成します。 | App Service でカスタム ドメインをセキュリティで保護することだけが必要な場合に、使いやすい無料のプライベート証明書。 |
| App Service 証明書を購入する | Azure によって管理されるプライベート証明書。 自動証明書管理のシンプルさと、更新オプションとエクスポート オプションの柔軟性が組み合わされています。 |
| Key Vault から証明書をインポートする | 証明書を管理するために Azure Key Vault を使用する場合に便利です。 |
| プライベート証明書のアップロード | 既にサードパーティ プロバイダーからのプライベート証明書がある場合は、それをアップロードすることができます。 |
| パブリック証明書のアップロード | パブリック証明書はカスタム ドメインのセキュリティ保護には使われませんが、リモート リソースにアクセスするために必要な場合は、コードに読み込むことができます。 |
プライベート証明書の要件
無料の App Service マネージド証明書と App Service 証明書では、既に App Service の要件が満たされています。 App Service でプライベート証明書を使用する場合は、証明書で以下の要件を満たす必要があります。
- Triple DES を使用して暗号化され、パスワードで保護された PFX ファイルとしてエクスポートされている
- 少なくとも 2048 ビット長の秘密キーが含まれている
- 証明書チェーン内のすべての中間証明書が含まれている
TLS バインドでカスタム ドメインをセキュリティで保護する場合、証明書には他の要件があります。
- サーバー認証用の拡張鍵使用が含まれている (OID = 1.3.6.1.5.5.7.3.1)
- 信頼された証明機関によって署名されている
無料のマネージド証明書の作成
カスタム TLS/SSL バインドを作成するか、App Service アプリに対してクライアント証明書を有効にするには、App Service プランが Basic、Standard、Premium、または Isolated レベルである必要があります。
無料 App Service マネージド証明書は、App Service でカスタム DNS 名をセキュリティで保護するためのターンキー ソリューションです。 これは、App Service によって完全に管理され、有効期限の 45 日前に 6 か月単位で継続して自動的に更新される TLS/SSL サーバー証明書です。 証明書を作成してカスタム ドメインにバインドすると、残りは App Service によって実行されます。
無料の証明書には以下の制限が伴います。
- ワイルドカード証明書はサポートされません。
- 証明書のサムプリントを使用したクライアント証明書としての使用はサポートされません。これは、非推奨で削除される予定です。
- プライベート DNS はサポートされません。
- エクスポートできません。
- App Service Environment (ASE) ではサポートされません。
- 英数字、ダッシュ (-)、ピリオド (.) のみがサポートされます。
App Service 証明書をインポートする
Azure から App Service 証明書を購入する場合は、Azure で次のタスクが管理されます。
- 証明書プロバイダーから購入プロセスを実行する。
- 証明書のドメイン検証を実行する。
- 証明書を Azure Key Vault に保持する。
- 証明書の更新を管理する。
- App Service アプリでインポートしたコピーと証明書を自動的に同期する。
既に使用中の App Service 証明書がある場合は、次の操作を実行できます。
- App Service に証明書をインポートする。
- 証明書を管理する (たとえば、更新、キー更新、エクスポートなど)。
Note
現時点で、App Service 証明書は Azure National Clouds ではサポートされていません。