Een App Service-certificaat voor uw web-app maken en beheren

In dit artikel wordt beschreven hoe u een App Service-certificaat maakt en beheertaken uitvoert, zoals het vernieuwen, synchroniseren en verwijderen van certificaten. Zodra u een App Service-certificaat hebt, kunt u het importeren in een App Service-app. Een App Service-certificaat is een privécertificaat dat wordt beheerd door Azure. Het certificaat biedt de eenvoud van geautomatiseerd certificaatbeheer, gecombineerd met de flexibiliteit van opties voor verlengen en exporteren.

Als u een App Service-certificaat aanschaft bij Azure, beheert Azure de volgende taken:

• Verwerkt het aankoopproces van GoDaddy.
• Domeinverificatie van het certificaat uitvoeren.
• Het certificaat in Azure Key Vault onderhouden.
• Hiermee beheert u het vernieuwen van certificaten.
• Hiermee synchroniseert u het certificaat automatisch met de geïmporteerde kopieën in App Service-apps.

Notitie

Nadat u een certificaat naar een app hebt geüpload, wordt het certificaat opgeslagen in een implementatie-eenheid die is gebonden aan de combinatie van resourcegroep, regio en besturingssysteem van het App Service-plan, intern een webruimte genoemd. Op die manier is het certificaat toegankelijk voor andere apps in dezelfde resourcegroep en regiocombinatie. Certificaten die zijn geüpload of geïmporteerd in App Service, worden gedeeld met App Services in dezelfde implementatie-eenheid.

Vereisten

• Maak een App Service-app. Het App Service-plan van de app moet zich in de laag Basic, Standard, Premium of Isolated bevinden. Zie Een app omhoog schalen om de laag bij te werken.

Notitie

Momenteel worden App Service-certificaten niet ondersteund in nationale Azure-clouds.

Een App Service-certificaat kopen en configureren

Het certificaat kopen

1. Ga naar de pagina App Service-certificaat maken om de aankoop te starten.

   Notitie

   App Service-certificaten die zijn aangeschaft vanuit Azure, worden uitgegeven door GoDaddy. Voor sommige domeinen moet u GoDaddy expliciet toestaan als certificaatverlener door een CAA-domeinrecord met de waarde 0 issue godaddy.comte maken.

   

2. Gebruik de volgende tabel om het certificaat te configureren. Wanneer u klaar bent, selecteert u Controleren en maken en selecteert u Vervolgens Maken.

   Instelling	Beschrijving
   Abonnement	Het Azure-abonnement dat moet worden gekoppeld aan het certificaat.
   Resourcegroep	De resourcegroep die het certificaat bevat. U kunt een nieuwe resourcegroep maken of dezelfde resourcegroep selecteren als uw App Service-app.
   SKU	Bepaalt het type certificaat dat moet worden gemaakt, ofwel een standaardcertificaat of een jokertekencertificaat.
   Naakte domeinhostnaam	Geef het hoofddomein op. Het uitgegeven certificaat biedt beveiliging voor zowel het hoofddomein als het www subdomein. In het uitgegeven certificaat geeft het veld Algemene naam het hoofddomein op en het veld Alternatieve onderwerpnaam geeft het www domein op. Als u alleen beveiliging wilt bieden voor een subdomein, geeft u bijvoorbeeld de volledig gekwalificeerde domeinnaam op voor het subdomein mysubdomain.contoso.com.
   Certificaatnaam	De beschrijvende naam voor uw App Service-certificaat.
   Automatische verlenging inschakelen	Selecteer of het certificaat automatisch moet worden vernieuwd voordat het verloopt. Elke verlenging verlengt de vervaldatum van het certificaat met één jaar. De kosten worden in rekening gebracht voor uw abonnement.

3. Wanneer de implementatie is voltooid, selecteert u Ga naar de resource.

Het certificaat opslaan in Azure Key Vault

Key Vault is een Azure-service waarmee u cryptografische sleutels en geheimen kunt beveiligen die door cloudtoepassingen en -services worden gebruikt. Voor App Service-certificaten wordt u aangeraden Key Vault te gebruiken. Nadat u het aankoopproces van het certificaat hebt voltooid, moet u nog enkele stappen uitvoeren voordat u het certificaat gaat gebruiken.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer in het menu Certificaat de optie Certificaatconfiguratie>stap 1: Opslaan.

   

2. Selecteer Selecteren in Key Vault op de pagina Key Vault-status.

3. Als u een nieuwe kluis maakt, stelt u de kluis in op basis van de volgende tabel en moet u hetzelfde abonnement en dezelfde resourcegroep gebruiken als uw App Service-app.

   Instelling	Beschrijving
   Resourcegroep	Aanbevolen: dezelfde resourcegroep als uw App Service-certificaat.
   Naam van sleutelkluis	Een unieke naam die alleen alfanumerieke tekens en streepjes gebruikt.
   Regio	Dezelfde locatie als uw App Service-app.
   Prijscategorie	Zie Prijzen van Azure Key Vault voor meer informatie.
   Dagen voor het behouden van verwijderde kluizen	Het aantal dagen na verwijdering dat objecten kunnen worden hersteld. (Zie Overzicht van voorlopig verwijderen in Azure Key Vault.) Stel een waarde in tussen 7 en 90.
   Beveiliging tegen opschonen	Als u deze optie inschakelt, blijven alle verwijderde objecten voorlopig verwijderd gedurende de gehele duur van de bewaarperiode.

4. Selecteer Volgende en selecteer vervolgens Kluistoegangsbeleid. Momenteel ondersteunen App Service-certificaten alleen toegangsbeleid voor Key Vault, niet het RBAC-model.

5. Selecteer Controleren en maken en selecteer vervolgens Maken.

6. Nadat de sleutelkluis is gemaakt, selecteert u Niet naar de resource gaan. Wacht totdat de pagina Sleutelkluis selecteren van Azure Key Vault opnieuw is geladen.

7. Selecteer Selecteren.

8. Nadat u de kluis hebt geselecteerd, sluit u de pagina Key Vault-opslagplaats . De stap 1: Winkeloptie moet een groen vinkje weergeven om aan te geven dat het is gelukt. Houd de pagina geopend voor de volgende stap.

Eigendom van domein bevestigen

1. Selecteer stap 2 op dezelfde pagina certificaatconfiguratie als in de vorige sectie.

   

2. Selecteer App Service-verificatie. Omdat u het domein eerder in deze sectie aan uw web-app hebt toegewezen, is het domein al geverifieerd. Als u deze stap wilt voltooien, selecteert u Verifiëren en selecteert u Vernieuwen totdat het bericht Certificaat is geverifieerd .

De volgende methoden voor domeinverificatie worden ondersteund:

Wijze	Description
App Service-verificatie	De handigste optie wanneer het domein al is toegewezen aan een App Service-app in hetzelfde abonnement, omdat de App Service-app het domeineigendom al heeft geverifieerd. Bekijk de laatste stap in Domeineigendom bevestigen.
Domeinverificatie	Bevestig een App Service-domein dat u bij Azure hebt gekocht. De TXT-record voor de verificatie wordt automatisch voor u toegevoegd en het proces wordt voltooid.
E-mailverificatie	Bevestig het domein door een e-mailbericht naar de domeinbeheerder te verzenden. Er worden instructies weergegeven wanneer u de optie selecteert.
Handmatige verificatie	Bevestig het domein met behulp van een DNS TXT-record of een HTML-pagina. (Deze laatste geldt alleen voor Standaardcertificaten. Zie de volgende opmerking.) De stappen worden weergegeven nadat u de optie hebt geselecteerd. De optie HTML-pagina werkt niet voor web-apps waarvoor ALLEEN HTTPS is ingeschakeld. Voor domeinverificatie via DNS TXT-record voor het hoofddomein (bijvoorbeeld contoso.com) of het subdomein (bijvoorbeeld www.contoso.com of test.api.contoso.com) en ongeacht de certificaat-SKU moet u een TXT-record toevoegen op het niveau van het hoofddomein, met behulp van @ de naam en het domeinverificatietoken voor de waarde in uw DNS-record.

Belangrijk

Met het standaardcertificaat krijgt u een certificaat voor het aangevraagde domein op het hoogste niveau en het www subdomein, bijvoorbeeld contoso.com en www.contoso.com. App Service-verificatie en handmatige verificatie maken echter gebruik van HTML-paginaverificatie, die geen ondersteuning biedt voor het www subdomein wanneer u een certificaat uitgeeft, opnieuw versleutelt of verlengt. Gebruik voor het standaardcertificaat domeinverificatie en e-mailverificatie om het www subdomein op te nemen met het aangevraagde domein op het hoogste niveau in het certificaat.

Zodra uw certificaat is geverifieerd door een domein, kunt u het importeren in een App Service-app.

Een App Service-certificaat vernieuwen.

App Service-certificaten hebben standaard een geldigheidsperiode van één jaar. Vóór de vervaldatum kunt u App Service-certificaten automatisch of handmatig verlengen in stappen van één jaar. Het verlengingsproces geeft u effectief een nieuw App Service-certificaat met de datum van afloop verlengd tot één jaar vanaf de datum van afloop van het bestaande certificaat.

Notitie

Vanaf 23 september 2021, als u het domein de afgelopen 395 dagen niet hebt geverifieerd, vereisen App Service-certificaten domeinverificatie tijdens een proces voor vernieuwen, automatisch verlengen of opnieuw versleutelen. De nieuwe certificaatvolgorde blijft in de modus Uitgifte in behandeling tijdens het proces vernieuwen, automatisch verlengen of opnieuw versleutelen totdat u de domeinverificatie hebt voltooid.

In tegenstelling tot het gratis door App Service beheerde certificaat hebben aangeschafte App Service-certificaten geen automatische domeinherverificatie. Mislukte verificatie van het eigendom van het domein resulteert in mislukte verlengingen. Zie Domeineigendom bevestigen voor meer informatie over het verifiëren van uw App Service-certificaat.

Voor het verlengingsproces moet de service-principal voor App Service beschikken over de vereiste machtigingen voor uw sleutelkluis. Deze machtigingen worden voor u ingesteld wanneer u een App Service-certificaat importeert via Azure Portal. Zorg ervoor dat u deze machtigingen niet verwijdert uit uw sleutelkluis.

1. Als u de instelling voor automatische verlenging voor uw App Service-certificaat op elk gewenst moment wilt wijzigen, selecteert u het certificaat op de pagina App Service-certificaten.

2. Selecteer Instellingen voor automatisch verlengen in het linkermenu.

3. Selecteer Aan of Uit en selecteer Opslaan.

   Als u automatische verlenging inschakelt, kunnen certificaten 32 dagen voor de vervaldatum automatisch worden verlengd.

   

4. Als u het certificaat handmatig wilt vernieuwen, selecteert u Handmatig verlengen. U kunt 60 dagen voor de vervaldatum aanvragen om uw certificaat handmatig te verlengen, maar certificaten kunnen niet langer dan 397 dagen worden uitgegeven.

5. Nadat de vernieuwingsbewerking is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Notitie

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Een App Service-certificaat opnieuw versleutelen

Als u denkt dat de persoonlijke sleutel van uw certificaat is gecompromitteerd, kunt u uw certificaat opnieuw versleutelen. Met deze actie wordt het certificaat gedraaid met een nieuw certificaat dat is uitgegeven door de certificeringsinstantie.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer Opnieuw versleutelen en synchroniseren in het linkermenu.

2. Selecteer Opnieuw versleutelen om het proces te starten. Dit proces kan 1-10 minuten duren.

   

3. Mogelijk moet u ook het eigendom van het domein opnieuw bevestigen.

4. Nadat de bewerking opnieuw versleutelen is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Notitie

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Een App Service-certificaat exporteren

Omdat een App Service-certificaat een Key Vault-geheim is, kunt u een kopie exporteren als een PFX-bestand, dat u kunt gebruiken voor andere Azure-services of buiten Azure.

Belangrijk

Het geëxporteerde certificaat is een onbeheerd artefact. App Service synchroniseert dergelijke artefacten niet wanneer het App Service-certificaat wordt vernieuwd. U moet het vernieuwde certificaat waar nodig exporteren en installeren.

Azure-portal

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Certificaat exporteren in het linkermenu.

3. Selecteer Key Vault-geheim openen.

4. Selecteer de huidige versie van het certificaat.

5. Selecteer Downloaden als een certificaat.

Azure-CLI

Voer de volgende opdrachten uit in Azure Cloud Shell of voer ze lokaal uit als u Azure CLI hebt geïnstalleerd. Vervang de tijdelijke aanduidingen door de namen die u hebt gebruikt bij het kopen van het App Service-certificaat.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Het gedownloade PFX-bestand is een onbewerkt PKCS12-bestand dat zowel de openbare als de persoonlijke certificaten bevat en een importwachtwoord heeft dat een lege tekenreeks is. U kunt het bestand lokaal installeren door het wachtwoordveld leeg te laten. U kunt het bestand niet uploaden naar App Service omdat het bestand niet met een wachtwoord is beveiligd.

Azure Advisor gebruiken voor App Service-certificaat

App Service-certificaat is geïntegreerd met Azure Advisor om betrouwbaarheidsaanbeveling te bieden wanneer voor uw certificaat domeinverificatie is vereist. U moet het eigendom van het domein voor uw certificaat verifiëren tijdens het vernieuwen, automatisch verlengen of opnieuw versleutelen als u het domein in de afgelopen 395 dagen niet hebt geverifieerd. Om ervoor te zorgen dat u geen certificaat mist waarvoor verificatie of risico bestaat dat een certificaat verloopt, kunt u Azure Advisor gebruiken om waarschuwingen voor App Service-certificaat weer te geven en in te stellen.

Aanbeveling van Advisor weergeven

Advisor-aanbeveling voor App Service-certificaat weergeven:

1. Navigeer naar de azure Advisor-pagina.

2. Selecteer in het linkermenu Aanbevelingen>betrouwbaarheid

3. Selecteer het filteroptieType is gelijk aan en zoek naar App Service-certificaten in de vervolgkeuzelijst. Als de waarde niet bestaat in het vervolgkeuzemenu, betekent dit dat er geen aanbeveling is gegenereerd voor uw App Service-certificaatbronnen omdat voor geen van deze resources verificatie van domeineigendom is vereist.

Advisor-waarschuwingen maken

U [maakt Azure Advisor-waarschuwingen voor nieuwe aanbevelingen] met behulp van verschillende configuraties. Om Advisor-waarschuwingen specifiek in te stellen voor App Serivice-certificaat, zodat u meldingen kunt ontvangen wanneer voor uw certificaat validatie van domeineigendom is vereist:

1. Navigeer naar de azure Advisor-pagina.

2. Selecteer bewakingswaarschuwingen>in het linkermenu (preview)

3. Klik op + New Advisor Alert op de actiebalk bovenaan. Hiermee opent u een nieuwe blade met de naam Advisor-waarschuwingen maken.

4. Selecteer onder Voorwaarde het volgende:

   Geconfigureerd door	Aanbevelingstype
   Aanbevelingstype	Domeinverificatie vereist voor uitgifte van uw App Service Certificate

5. Vul de rest van de vereiste velden in en selecteer vervolgens onderaan de knop Waarschuwing maken.

Een App Service-certificaat verwijderen

Als u een App Service-certificaat verwijdert, kan de verwijderbewerking ongedaan worden en definitief worden uitgevoerd. Het resultaat is een ingetrokken certificaat en elke binding in App Service die gebruikmaakt van het certificaat wordt ongeldig.

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Overzicht>verwijderen in het linkermenu.

3. Wanneer het bevestigingsvak wordt geopend, voert u de certificaatnaam in en selecteert u OK.

Veelgestelde vragen

Mijn App Service-certificaat heeft geen waarde in Key Vault

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik. Als Key Vault-geheim onderhoudt het een Initialize tag en blijft de waarde en het inhoudstype leeg. Wanneer het eigendom van het domein wordt bevestigd, toont het sleutelkluisgeheim een waarde en een inhoudstype en verandert de tag in Ready.

Ik kan mijn App Service-certificaat niet exporteren met PowerShell

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik.

Welke wijzigingen brengt het maken van het App Service-certificaat aan in mijn bestaande sleutelkluis?

Tijdens het aanmaakproces worden de volgende wijzigingen aangebracht:

• Hiermee voegt u twee toegangsbeleidsregels toe in de kluis:
  • Microsoft.Azure.WebSites (of Microsoft Azure App Service)
  • CSM-resourceprovider van Microsoft-certificaatverkoper (of Microsoft.Azure.CertificateRegistration)
• Hiermee maakt u een verwijderingsvergrendeling die wordt aangeroepen AppServiceCertificateLock voor de kluis om te voorkomen dat de sleutelkluis per ongeluk wordt verwijderd.

Gerelateerde inhoud

• Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure App Service
• HTTPS afdwingen
• TLS 1.1/1.2 afdwingen
• Een TLS/SSL-certificaat gebruiken in uw code in Azure App Service
• Veelgestelde vragen over het maken of verwijderen van resources in Azure-app Service