Een App Service-certificaat voor uw web-app maken en beheren

In dit artikel wordt beschreven hoe u een App Service-certificaat maakt en beheert (zoals vernieuwen, synchroniseren en verwijderen). Zodra u een App Service-certificaat hebt, kunt u het importeren in een App Service-app. Een App Service-certificaat is een privécertificaat dat wordt beheerd door Azure. Het certificaat biedt de eenvoud van geautomatiseerd certificaatbeheer, gecombineerd met de flexibiliteit van opties voor verlengen en exporteren.

Als u een App Service-certificaat aanschaft bij Azure, beheert Azure de volgende taken:

• Verwerkt het aankoopproces van GoDaddy.
• Domeinverificatie van het certificaat uitvoeren.
• Het certificaat in Azure Key Vault onderhouden.
• Hiermee beheert u het vernieuwen van certificaten.
• Hiermee synchroniseert u het certificaat automatisch met de geïmporteerde kopieën in App Service-apps.

Notitie

Nadat u een certificaat naar een app hebt geüpload, wordt het certificaat opgeslagen in een implementatie-eenheid die is gebonden aan de combinatie van resourcegroep, regio en besturingssysteem van het App Service-plan, intern een webruimte genoemd. Op die manier is het certificaat toegankelijk voor andere apps in dezelfde resourcegroep en regiocombinatie. Certificaten die zijn geüpload of geïmporteerd in App Service, worden gedeeld met App Services in dezelfde implementatie-eenheid.

Vereisten

• Maak een App Service-app. Het App Service-plan van de app moet zich in de laag Basic, Standard, Premium of Isolated bevinden. Zie Een app omhoog schalen om de laag bij te werken.

Notitie

Momenteel worden App Service-certificaten niet ondersteund in Azure National Clouds.

Een App Service-certificaat kopen en configureren

Certificaataankoop starten

1. Ga naar de pagina voor het maken van App Service-certificaten en start uw aankoop voor een App Service-certificaat.

   Notitie

   App Service-certificaten die zijn aangeschaft vanuit Azure, worden uitgegeven door GoDaddy. Voor sommige domeinen moet u GoDaddy expliciet toestaan als certificaatverlener door een CAA-domeinrecord te maken met de waarde: 0 issue godaddy.com

   

2. Gebruik de volgende tabel om het certificaat te configureren. Wanneer u klaar bent, selecteert u Controleren en maken en selecteert u Vervolgens Maken.

   Instelling	Beschrijving
   Abonnement	Het Azure-abonnement dat moet worden gekoppeld aan het certificaat.
   Resourcegroep	De resourcegroep die het certificaat bevat. U kunt een nieuwe resourcegroep maken of dezelfde resourcegroep selecteren als uw App Service-app.
   SKU	Bepaalt het type certificaat dat moet worden gemaakt, ofwel een standaardcertificaat of een jokertekencertificaat.
   Naam van naakte domeinhost	Geef het hoofddomein op. Met het verleende certificaat wordt zowel het hoofddomein als het www-subdomein beveiligd. In het uitgegeven certificaat geeft het veld Algemene naam het hoofddomein op en het veld Alternatieve onderwerpnaam geeft het www domein op. Als u alleen een subdomein wilt beveiligen, geeft u bijvoorbeeld de volledig gekwalificeerde domeinnaam voor het subdomein mysubdomain.contoso.comop.
   Certificaatnaam	De beschrijvende naam voor uw App Service-certificaat.
   Automatische verlenging inschakelen	Selecteer of het certificaat automatisch moet worden vernieuwd voordat het verloopt. Elke verlenging verlengt de vervaldatum van het certificaat met één jaar en de kosten worden in rekening gebracht voor uw abonnement.

3. Wanneer de implementatie is voltooid, selecteert u Ga naar de resource.

Certificaat opslaan in Azure Key Vault

Key Vault is een Azure-service waarmee u cryptografische sleutels en geheimen kunt beveiligen die door cloudtoepassingen en -services worden gebruikt. Voor App Service-certificaten is de opslag van keuze Key Vault. Nadat u het aankoopproces van het certificaat hebt voltooid, moet u nog enkele stappen uitvoeren voordat u dit certificaat gaat gebruiken.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer in het menu Certificaat de optie Certificaatconfiguratie>stap 1: Opslaan.

   

2. Selecteer Selecteren in Key Vault op de pagina Key Vault-status.

3. Als u een nieuwe kluis maakt, stelt u de kluis in op basis van de volgende tabel en moet u hetzelfde abonnement en dezelfde resourcegroep gebruiken als uw App Service-app.

   Instelling	Beschrijving
   Resourcegroep	Aanbevolen: dezelfde resourcegroep als uw App Service-certificaat.
   Naam van sleutelkluis	Een unieke naam die alleen alfanumerieke tekens en streepjes gebruikt.
   Regio	Dezelfde locatie als uw App Service-app.
   Prijscategorie	Zie Prijzen van Azure Key Vault voor meer informatie.
   Dagen voor het behouden van verwijderde kluizen	Het aantal dagen na verwijdering, waarin objecten herstelbaar blijven (zie overzicht van voorlopig verwijderen in Azure Key Vault). Stel een waarde in tussen 7 en 90.
   Beveiliging tegen opschonen	Hiermee voorkomt u dat objecten voorlopig verwijderde st-objecten handmatig worden opgeschoond. Als u deze optie inschakelt, blijven alle verwijderde objecten voorlopig verwijderd gedurende de gehele duur van de bewaarperiode.

4. Selecteer Volgende en selecteer Kluistoegangsbeleid. Momenteel ondersteunen App Service-certificaten alleen toegangsbeleid voor Key Vault, niet het RBAC-model.

5. Selecteer Controleren en maken en selecteer vervolgens Maken.

6. Nadat de sleutelkluis is gemaakt, selecteert u niet Naar de resource gaan, maar wacht u totdat de pagina Sleutelkluis selecteren van Azure Key Vault opnieuw wordt geladen.

7. Selecteer Selecteren.

8. Nadat u de kluis hebt geselecteerd, sluit u de pagina Key Vault-opslagplaats . De stap 1: Winkeloptie moet een groen vinkje weergeven om aan te geven dat het is gelukt. Houd de pagina geopend voor de volgende stap.

Eigendom van domein bevestigen

1. Selecteer stap 2 op dezelfde pagina Certificaatconfiguratie in de vorige sectie: Verifiëren.

   

2. Selecteer App Service-verificatie. Omdat u het domein echter eerder aan uw web-app hebt toegewezen volgens de vereisten, is het domein al geverifieerd. Als u deze stap wilt voltooien, selecteert u Verifiëren en selecteert u Vernieuwen totdat het bericht Certificaat is geverifieerd .

De volgende methoden voor domeinverificatie worden ondersteund:

Wijze	Description
App Service-verificatie	De handigste optie wanneer het domein al is toegewezen aan een App Service-app in hetzelfde abonnement, omdat de App Service-app het domeineigendom al heeft geverifieerd. Bekijk de laatste stap in Domeineigendom bevestigen.
Domeinverificatie	Bevestig een App Service-domein dat u bij Azure hebt gekocht. De TXT-record voor de verificatie wordt automatisch voor u toegevoegd en het proces wordt voltooid.
E-mailverificatie	Bevestig het domein door een e-mailbericht naar de domeinbeheerder te verzenden. Er worden instructies weergegeven wanneer u de optie selecteert.
Handmatige verificatie	Bevestig het domein met behulp van een DNS TXT-record of een HTML-pagina, die alleen van toepassing is op standaardcertificaten volgens de volgende opmerking. De stappen worden weergegeven nadat u de optie hebt geselecteerd. De optie HTML-pagina werkt niet voor web-apps waarvoor ALLEEN HTTPS is ingeschakeld. Voor domeinverificatie via DNS TXT-record voor een van beide hoofddomeinen (d.w.w.v. "contoso.com") of subdomein (bijvoorbeeld. 'www.contoso.com', 'test.api.contoso.com') en ongeacht de certificaat-SKU moet u een TXT-record toevoegen op het niveau van het hoofddomein met behulp van @voor de naam en het domeinverificatietoken voor de waarde in uw DNS-record.

Belangrijk

Met het standaardcertificaat krijgt u een certificaat voor het aangevraagde domein op het hoogste niveau en het www subdomein, bijvoorbeeld contoso.com en www.contoso.com. App Service-verificatie en handmatige verificatie maken echter gebruik van HTML-paginaverificatie, die geen ondersteuning biedt voor het subdomein bij het www uitgeven, opnieuw versleutelen of vernieuwen van een certificaat. Gebruik voor het standaardcertificaat domeinverificatie en e-mailverificatie om het www subdomein op te nemen met het aangevraagde domein op het hoogste niveau in het certificaat.

Zodra uw certificaat is geverifieerd door een domein, kunt u het importeren in een App Service-app.

Een App Service-certificaat vernieuwen

App Service-certificaten hebben standaard een geldigheidsperiode van één jaar. Voordat u de vervaldatum nadert, kunt u App Service-certificaten automatisch of handmatig verlengen in stappen van één jaar. Het verlengingsproces geeft u effectief een nieuw App Service-certificaat met de vervaldatum verlengd tot één jaar vanaf de vervaldatum van het bestaande certificaat.

Notitie

Vanaf 23 september 2021, als u het domein de afgelopen 395 dagen niet hebt geverifieerd, vereisen App Service-certificaten domeinverificatie tijdens een proces voor vernieuwen of opnieuw versleutelen. De nieuwe certificaatvolgorde blijft in de modus Uitgifte in behandeling tijdens het proces vernieuwen of opnieuw versleutelen totdat u de domeinverificatie voltooit.

In tegenstelling tot het gratis door App Service beheerde certificaat, wordt domeinherverificatie voor App Service-certificaten niet geautomatiseerd. Mislukte verificatie van het eigendom van het domein resulteert in mislukte verlengingen. Zie Domeineigendom bevestigen voor meer informatie over het verifiëren van uw App Service-certificaat.

Voor het verlengingsproces is vereist dat de bekende service-principal voor App Service over de vereiste machtigingen voor uw sleutelkluis beschikt. Deze machtigingen worden voor u ingesteld wanneer u een App Service-certificaat importeert via Azure Portal. Zorg ervoor dat u deze machtigingen niet verwijdert uit uw sleutelkluis.

1. Als u de instelling voor automatische verlenging voor uw App Service-certificaat op elk gewenst moment wilt wijzigen, selecteert u het certificaat op de pagina App Service-certificaten.

2. Selecteer Instellingen automatisch verlengen in het menu aan de linkerkant.

3. Selecteer Aan of Uit en selecteer Opslaan.

   Als u automatische verlenging inschakelt, kunnen certificaten 32 dagen voor de vervaldatum automatisch worden verlengd.

   

4. Als u het certificaat handmatig wilt vernieuwen, selecteert u Handmatig verlengen. U kunt aanvragen om uw certificaat 60 dagen vóór de vervaldatum handmatig te verlengen, maar de maximale vervaldatum is 397 dagen.

5. Nadat de vernieuwingsbewerking is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Notitie

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Opnieuw versleutelen en App Service-certificaat

Als u denkt dat de persoonlijke sleutel van uw certificaat is gecompromitteerd, kunt u uw certificaat opnieuw versleutelen. Met deze actie wordt het certificaat gerolld met een nieuw certificaat dat is uitgegeven door de certificeringsinstantie.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer Opnieuw versleutelen en synchroniseren in het linkermenu.

2. Selecteer Opnieuw versleutelen om het proces te starten. Dit proces kan 1-10 minuten duren.

   

3. Mogelijk moet u ook het eigendom van het domein opnieuw bevestigen.

4. Nadat de bewerking opnieuw versleutelen is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Notitie

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Een App Service-certificaat exporteren

Omdat een App Service-certificaat een Key Vault-geheim is, kunt u een kopie exporteren als een PFX-bestand, dat u kunt gebruiken voor andere Azure-services of buiten Azure.

Belangrijk

Het geëxporteerde certificaat is een onbeheerd artefact. App Service synchroniseert dergelijke artefacten niet wanneer het App Service-certificaat wordt vernieuwd. U moet het vernieuwde certificaat waar nodig exporteren en installeren.

Azure-portal

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Certificaat exporteren in het linkermenu.

3. Selecteer Key Vault-geheim openen.

4. Selecteer de huidige versie van het certificaat.

5. Selecteer Downloaden als een certificaat.

Azure-CLI

Voer de volgende opdrachten uit in Azure Cloud Shell of voer ze lokaal uit als u Azure CLI hebt geïnstalleerd. Vervang de tijdelijke aanduidingen door de namen die u hebt gebruikt bij het kopen van het App Service-certificaat.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Het gedownloade PFX-bestand is een onbewerkt PKCS12-bestand dat zowel de openbare als de persoonlijke certificaten bevat en een importwachtwoord heeft dat een lege tekenreeks is. U kunt het bestand lokaal installeren door het wachtwoordveld leeg te laten. U kunt het bestand niet uploaden naar App Service omdat het bestand niet met een wachtwoord is beveiligd.

Een App Service-certificaat verwijderen

Als u een App Service-certificaat verwijdert, kan de verwijderbewerking ongedaan worden en definitief worden uitgevoerd. Het resultaat is een ingetrokken certificaat en elke binding in App Service die dit certificaat gebruikt, wordt ongeldig.

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Overzicht>verwijderen in het linkermenu.

3. Wanneer het bevestigingsvak wordt geopend, voert u de certificaatnaam in en selecteert u OK.

Veelgestelde vragen

Mijn App Service-certificaat heeft geen waarde in Key Vault

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik. Als sleutelkluisgeheim onderhoudt het een Initialize tag en blijft de waarde en het inhoudstype leeg. Wanneer het eigendom van het domein wordt bevestigd, toont het sleutelkluisgeheim een waarde en een inhoudstype en verandert de tag in Ready.

Ik kan mijn App Service-certificaat niet exporteren met PowerShell

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik.

Welke wijzigingen brengt het proces voor het maken van een App Service-certificaat in mijn bestaande Sleutelkluis aan?

Tijdens het aanmaakproces worden de volgende wijzigingen aangebracht:

• Hiermee voegt u twee toegangsbeleidsregels toe in de kluis:
  • Microsoft.Azure.WebSites (of Microsoft Azure App Service)
  • CSM-resourceprovider van Microsoft-certificaatverkoper (of Microsoft.Azure.CertificateRegistration)
• Hiermee maakt u een verwijderingsvergrendeling voor de kluis met de naam: AppServiceCertificateLock om te voorkomen dat de sleutelkluis per ongeluk wordt verwijderd.

Meer resources

• Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure App Service
• HTTPS afdwingen
• TLS 1.1/1.2 afdwingen
• Een TLS/SSL-certificaat gebruiken in uw code in Azure App Service
• Veelgestelde vragen: App Service-certificaten