Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Vanaf 28 juli 2025 hebben wijzigingen in door App Service beheerde certificaten (ASMC) invloed op de wijze waarop certificaten worden uitgegeven en vernieuwd in bepaalde scenario's. Hoewel de meeste klanten geen actie hoeven te ondernemen, raden we u aan onze gedetailleerde blogpost van ASMC te bekijken voor meer informatie.
U kunt digitale beveiligingscertificaten toevoegen voor gebruik in uw toepassingscode of om aangepaste DNS-namen (Domain Name System) in Azure App Service te beveiligen. App Service biedt een uiterst schaalbare webhostingservice met selfpatching. De certificaten worden momenteel TLS-certificaten (Transport Layer Security) genoemd. Ze werden voorheen SSL-certificaten (Secure Sockets Layer) genoemd. Deze persoonlijke of openbare certificaten helpen u bij het beveiligen van internetverbinding. De certificaten versleutelen gegevens die worden verzonden tussen uw browser, websites die u bezoekt en de websiteserver.
De volgende tabel bevat de opties voor het toevoegen van certificaten in App Service.
| Optie | Omschrijving |
|---|---|
| Een gratis door App Service beheerd certificaat maken | Een privécertificaat dat gratis en eenvoudig te gebruiken is als u de beveiliging voor uw aangepaste domein in App Service wilt verbeteren. |
| Een App Service-certificaat importeren | Azure beheert het privécertificaat. Het certificaat biedt de eenvoud van geautomatiseerd certificaatbeheer, gecombineerd met de flexibiliteit van opties voor verlengen en exporteren. |
| Een certificaat importeren uit Azure Key Vault | Handig als u Key Vault gebruikt om uw PKCS12-certificaten te beheren. Zie Vereisten voor persoonlijke certificaten. |
| Een persoonlijk certificaat uploaden | Als u al een privécertificaat van een niet-Microsoft-provider hebt, kunt u het uploaden. Zie Vereisten voor persoonlijke certificaten. |
| Een openbaar certificaat uploaden | Openbare certificaten worden niet gebruikt om aangepaste domeinen te beveiligen, maar u kunt ze in uw code laden als u ze nodig hebt voor toegang tot externe resources. |
Vereiste voorwaarden
Maak een App Service-app. Het App Service-plan van de app moet zich in de laag Basic, Standard, Premium of Isolated bevinden. Zie Een app omhoog schalen om de laag bij te werken.
Voor een privécertificaat moet u ervoor zorgen dat het voldoet aan alle vereisten van App Service.
Gratis certificaat alleen:
- Wijs het domein toe waar u het certificaat wilt toewijzen aan App Service. Zie Zelfstudie: Een bestaande aangepaste DNS-naam toewijzen aan Azure-app Service voor meer informatie.
- Zorg ervoor dat voor een hoofddomein (zoals contoso.com) geen IP-beperkingen zijn geconfigureerd voor uw app. Zowel het maken van certificaten als de periodieke verlenging van een basisdomein is afhankelijk van het feit dat uw app bereikbaar is vanaf internet.
Vereisten voor persoonlijke certificaten
Het gratis door App Service beheerde certificaat en het App Service-certificaat voldoen al aan de vereisten van App Service. Als u ervoor kiest om een persoonlijk certificaat te uploaden of te importeren naar App Service, moet uw certificaat voldoen aan de volgende vereisten:
- Worden geëxporteerd als een PFX-bestand dat met een wachtwoord is beveiligd.
- Alle tussenliggende certificaten en het basiscertificaat in de certificaatketen bevatten.
Als u een aangepast domein in een TLS-binding wilt beveiligen, moet het certificaat voldoen aan deze extra vereisten:
- Bevat een uitgebreid sleutelgebruik voor serververificatie (OID = 1.3.6.1.5.5.7.3.1).
- Worden ondertekend door een vertrouwde certificeringsinstantie.
Notitie
ECC-certificaten (Elliptic Curve Cryptography) werken met App Service wanneer ze zijn geüpload als PFX, maar kunnen momenteel niet worden geïmporteerd uit Key Vault. Ze vallen niet onder dit artikel. Voor de exacte stappen voor het maken van ECC-certificaten werkt u samen met uw certificeringsinstantie.
Nadat u een privécertificaat aan een app hebt toegevoegd, wordt het certificaat opgeslagen in een implementatie-eenheid die is gebonden aan de combinatie van resourcegroep, regio en besturingssysteem van het App Service-plan. Intern wordt het een webruimte genoemd. Op die manier is het certificaat toegankelijk voor andere apps in dezelfde combinatie van resourcegroepen, regio's en besturingssystemen. Privécertificaten die zijn geüpload of geïmporteerd in App Service, worden gedeeld met app-services in dezelfde implementatie-eenheid.
U kunt maximaal 1000 privécertificaten per webruimte toevoegen.
Een gratis beheerd certificaat maken
Het gratis door App Service beheerde certificaat is een kant-en-klare oplossing voor het beveiligen van uw aangepaste DNS-naam in App Service. Zonder enige actie van u wordt dit TLS/SSL-servercertificaat volledig beheerd door App Service en wordt automatisch vernieuwd, zolang de vereisten die u instelt, hetzelfde blijven. Alle gekoppelde bindingen worden bijgewerkt met het vernieuwde certificaat. U maakt en verbindt het certificaat aan een aangepast domein en laat App Service de rest doen.
Voordat u een gratis beheerd certificaat maakt, moet u ervoor zorgen dat u voldoet aan de vereisten voor uw app.
DigiCert geeft gratis certificaten uit. Voor sommige domeinen moet u DigiCert expliciet toestaan als certificaatverlener door een CAA-domeinrecord (Certification Authority Authorization) met de waarde 0 issue digicert.comte maken.
Azure beheert de certificaten volledig voor u, zodat elk aspect van het beheerde certificaat, inclusief de basisverlener, op elk gewenst moment kan worden gewijzigd. Certificaatvernieuwingen wijzigen zowel openbare als persoonlijke sleutelonderdelen. Al deze certificaatwijzigingen vallen buiten uw beheer. Zorg ervoor dat u harde afhankelijkheden vermijdt en praktijkcertificaten vastmaken aan het beheerde certificaat of een deel van de certificaathiërarchie. Als u het gedrag voor het vastmaken van certificaten nodig hebt, voegt u een certificaat toe aan uw aangepaste domein met behulp van een andere beschikbare methode in dit artikel.
Het gratis certificaat wordt geleverd met de volgende beperkingen:
- Biedt geen ondersteuning voor wildcard-certificaten.
- Ondersteunt niet het gebruik als clientcertificaat met behulp van certificaatvingerafdrukken, die gepland zijn om afgeschaft en verwijderd te worden.
- Biedt geen ondersteuning voor privé-DNS.
- Kan niet worden geëxporteerd.
- Wordt niet ondersteund in App Service Environment.
- Ondersteunt alleen alfanumerieke tekens, streepjes (-) en punten (.).
- Ondersteunt aangepaste domeinen van een lengte van maximaal 64 tekens.
- Moet een A-record hebben die verwijst naar het IP-adres van uw web-app.
- Moet zich in apps bevinden die openbaar toegankelijk zijn.
- Wordt niet ondersteund met hoofddomeinen die zijn geïntegreerd met Azure Traffic Manager.
- Moet voldoen aan alle voorgaande criteria voor geslaagde certificaatuitgiften en vernieuwingen.
Selecteer in de Azure Portal in het linkerdeelvenster App Services> de <>.
Selecteer Certificaten in het linkerdeelvenster van uw app. Selecteer Certificaat toevoegen in het deelvenster Beheerde certificaten.
Selecteer het aangepaste domein voor het gratis certificaat en selecteer vervolgens Valideren. Wanneer de validatie is voltooid, selecteert u Toevoegen. U kunt slechts één beheerd certificaat maken voor elk ondersteund aangepast domein.
Nadat de bewerking is voltooid, wordt het certificaat weergegeven in de lijst met beheerde certificaten .
Als u beveiliging wilt bieden voor een aangepast domein met dit certificaat, moet u een certificaatbinding maken. Volg de stappen in Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure-app Service.
Een App Service-certificaat importeren
Als u een App Service-certificaat wilt importeren, koopt en configureert u eerst een App Service-certificaat en volgt u de stappen hier.
Selecteer in de Azure Portal in het linkerdeelvenster App Services> de <>.
In het linkerdeelvenster van uw app selecteert u certificaten>eigen certificaten (.pfx) meebrengen>Certificaat toevoegen.
Onder Bron selecteer App Service-certificaat importeren.
Selecteer onder App Service-certificaat het certificaat dat u hebt gemaakt.
Geef onder Vriendelijke naam van het certificaat het certificaat een naam in uw app.
Selecteer Valideren. Wanneer de validatie is geslaagd, selecteert u Toevoegen.
Nadat de bewerking is voltooid, wordt het certificaat weergegeven in de lijst Bring Your Own Certificates (.pfx).
Als u een aangepast domein wilt beveiligen met dit certificaat, moet u een certificaatbinding maken. Volg de stappen in Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure-app Service.
Een certificaat uit Key Vault importeren
Als u Key Vault gebruikt om uw certificaten te beheren, kunt u een PKCS12-certificaat importeren in App Service vanuit Key Vault als u aan de vereisten voldoet.
App Service machtigen voor leestoegang tot de kluis
De App Service-resourceprovider heeft standaard geen toegang tot uw sleutelkluis. Als u een sleutelkluis wilt gebruiken voor een certificaatimplementatie, moet u leestoegang voor de resourceprovider (App Service) autoriseren voor de sleutelkluis. U kunt toegang verlenen met een toegangsbeleid of op rollen gebaseerd toegangsbeheer (RBAC).
| Hulpbronleverancier | Service-principal-app-ID / toegewezene | Key Vault RBAC-rol |
|---|---|---|
Azure App Service of Microsoft.Azure.WebSites |
-
abfa0a7c-a6b6-4736-8310-5855508787cd voor Azure Cloud Services - 6a02c803-dafd-4136-b4c3-5a6f318b4714 voor Azure Cloud Services voor de Overheid |
Certificaatgebruiker |
De app-id van de service-principal of de waarde van de toegewezen gebruiker is de id voor de App Service-resourceprovider. Wanneer toegang wordt verleend met behulp van RBAC, is de bijbehorende object-id van de app-id van de service-principal specifiek voor een bepaalde tenant. Voor meer informatie over het autoriseren van Key Vault-machtigingen voor de App Service-resourceprovider met behulp van een toegangsbeleid, raadpleegt u Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met op rollen gebaseerd toegangsbeheer van Azure.
Notitie
Als Key Vault is geconfigureerd om openbare toegang uit te schakelen, schakelt u het selectievakje Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen in om ervoor te zorgen dat Microsoft-services toegang hebben. Zie alleen firewall-ingeschakelde vertrouwde services in Key Vault voor meer informatie.
az role assignment create --role "Key Vault Certificate User" --assignee "abfa0a7c-a6b6-4736-8310-5855508787cd" --scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"
Een certificaat uit uw kluis importeren in uw app
Selecteer in de Azure Portal in het linkerdeelvenster App Services> de <>.
In het linkerdeelvenster van uw app selecteert u certificaten>eigen certificaten (.pfx) meebrengen>Certificaat toevoegen.
Bij Bron, selecteer importeren uit Key Vault.
Kies Sleutelkluiscertificaat selecteren.
Gebruik de volgende tabel om u te helpen het certificaat te selecteren:
Configuratie Omschrijving Abonnement Het abonnement dat is gekoppeld aan de sleutelkluis (key vault). Key Vault De sleutelkluis met het certificaat dat u wilt importeren. Certificaat Selecteer in deze lijst een PKCS12-certificaat dat zich in de kluis bevindt. Alle PKCS12-certificaten in de kluis worden weergegeven met hun vingerafdrukken, maar niet alle certificaten worden ondersteund in App Service. Nadat u klaar bent met uw selectie, kiest u Selecteren>Valideren en selecteert u daarna Toevoegen.
Nadat de bewerking is voltooid, wordt het certificaat weergegeven in de lijst Bring Your Own Certificates (.pfx). Als het importeren mislukt met een fout, voldoet het certificaat niet aan de vereisten voor App Service.
Als u uw certificaat in Key Vault bijwerkt met een nieuw certificaat, synchroniseert App Service uw certificaat automatisch binnen 24 uur.
Als u een aangepast domein wilt beveiligen met dit certificaat, moet u een certificaatbinding maken. Volg de stappen in Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure-app Service.
Een persoonlijk certificaat uploaden
Nadat u een certificaat van uw certificaatprovider hebt ontvangen, maakt u het certificaat gereed voor App Service door de stappen in deze sectie te volgen.
Tussenliggende certificaten samenvoegen
Als uw certificeringsinstantie u meerdere certificaten in de certificaatketen geeft, moet u de certificaten samenvoegen door dezelfde volgorde te volgen.
Open elk ontvangen certificaat in een teksteditor.
Als u het samengevoegde certificaat wilt opslaan, maakt u een bestand met de naam mergedcertificate.crt.
Kopieer de inhoud voor elk certificaat naar dit bestand. Zorg ervoor dat u de certificaatreeks volgt die is opgegeven door de certificaatketen. Begin met uw certificaat en eindig met het basiscertificaat, bijvoorbeeld:
-----BEGIN CERTIFICATE----- <your entire Base64 encoded SSL certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 1> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 2> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded root certificate> -----END CERTIFICATE-----
Het samengevoegde privécertificaat exporteren naar PFX
Exporteer nu het samengevoegde TLS/SSL-certificaat met de persoonlijke sleutel die is gebruikt om uw certificaataanvraag te genereren. Als u uw certificaataanvraag hebt gegenereerd met behulp van OpenSSL, hebt u een bestand met een persoonlijke sleutel gemaakt.
OpenSSL v3 heeft de standaard codering gewijzigd van 3DES in AES256. Gebruik de opdrachtregel -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 om de wijziging te overschrijven.
OpenSSL v1 maakt gebruik van 3DES als de standaardwaarde, dus de PFX-bestanden die worden gegenereerd, worden ondersteund zonder speciale wijzigingen.
Voer de volgende opdracht uit om uw certificaat te exporteren naar een PFX-bestand. Vervang de tijdelijke aanduidingen <voor het persoonlijke-sleutelbestand> en <het samengevoegde-certificaatbestand> door de paden naar uw persoonlijke sleutel en het samengevoegde certificaatbestand.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>Wanneer u hierom wordt gevraagd, geeft u een wachtwoord op voor de exportbewerking. Wanneer u uw TLS/SSL-certificaat later uploadt naar App Service, moet u dit wachtwoord opgeven.
Als u IIS of Certreq.exehebt gebruikt om uw certificaataanvraag te genereren, installeert u het certificaat op uw lokale computer en exporteert u het certificaat vervolgens naar een PFX-bestand.
Het certificaat uploaden naar App Service
U bent nu klaar om het certificaat te uploaden naar App Service.
Selecteer in de Azure Portal in het linkerdeelvenster App Services> de <>.
Selecteer in het linkerdeelvenster van uw app Certificaten>bring your own certificates (.pfx)>Upload certificate (.pfx).
Gebruik de volgende tabel om het PFX-certificaat te uploaden:
Configuratie Omschrijving PFX-certificaatbestand Selecteer het PFX-bestand. Certificaatwachtwoord Voer het wachtwoord in dat u hebt gemaakt bij het exporteren van het PFX-bestand. Vriendelijke naam van certificaat De certificaatnaam die wordt weergegeven in uw web-app. Nadat u klaar bent met uw selectie, kiest u Selecteren>Valideren en selecteert u daarna Toevoegen.
Nadat de bewerking is voltooid, wordt het certificaat weergegeven in de lijst Bring Your Own Certificates (.pfx).
Als u beveiliging wilt bieden voor een aangepast domein met dit certificaat, moet u een certificaatbinding maken. Volg de stappen in Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure-app Service.
Een openbaar certificaat uploaden
Openbare certificaten worden ondersteund in de indeling .cer.
Nadat u een openbaar certificaat naar een app hebt geüpload, is het alleen toegankelijk voor de app waarnaar het is geüpload. Openbare certificaten moeten worden geüpload naar elke afzonderlijke web-app die toegang nodig heeft. Raadpleeg de documentatie voor certificaten en App Service Environment voor scenario's die specifiek zijn voor App Service Environment.
U kunt maximaal 1000 openbare certificaten uploaden per App Service-plan.
Selecteer in de Azure Portal in het linkerdeelvenster App Services> de <>.
Selecteer in het linkerdeelvenster van uw app Certificaten>openbare-sleutelcertificaten (.cer)>Certificaat toevoegen.
Gebruik de volgende tabel om het .cer-certificaat te uploaden:
Configuratie Omschrijving .cer certificaatbestand Selecteer het bestand .cer. Vriendelijke naam van certificaat De certificaatnaam die wordt weergegeven in uw web-app. Nadat u klaar bent, selecteert u Toevoegen.
Nadat het certificaat is geüpload, kopieert u de vingerafdruk van het certificaat en bekijkt u Het certificaat toegankelijk maken.
Een verlopend certificaat vernieuwen
Voordat een certificaat verloopt, moet u het vernieuwde certificaat toevoegen aan App Service. Werk alle certificaatbindingen bij waarbij het proces afhankelijk is van het certificaattype. Een certificaat dat is geïmporteerd uit Key Vault, inclusief een App Service-certificaat, wordt bijvoorbeeld elke 24 uur automatisch gesynchroniseerd met App Service en werkt de TLS/SSL-binding bij wanneer u het certificaat verlengt.
Voor een geüpload certificaat is er geen automatische bindingsupdate. Bekijk de bijbehorende sectie op basis van uw scenario:
- Een geüpload certificaat vernieuwen
- Een App Service-certificaat vernieuwen
- Een certificaat vernieuwen dat is geïmporteerd uit Key Vault
Een geüpload certificaat vernieuwen
Wanneer u een verlopend certificaat vervangt, kan de manier waarop u de certificaatbinding bijwerkt met het nieuwe certificaat de gebruikerservaring nadelig beïnvloeden. Het binnenkomende IP-adres kan bijvoorbeeld veranderen wanneer u een binding verwijdert, zelfs als deze binding is gebaseerd op IP. Dit resultaat is met name effectief wanneer u een certificaat vernieuwt dat al in een IP-binding staat.
Volg deze stappen om een wijziging in het IP-adres van uw app te voorkomen en downtime voor uw app te voorkomen vanwege HTTPS-fouten:
Ga naar de pagina Aangepaste domeinen voor uw app, selecteer de knop ... en selecteer vervolgens Binding bijwerken.
Selecteer het nieuwe certificaat en selecteer Vervolgens Bijwerken.
Verwijder het bestaande certificaat.
Een certificaat vernieuwen dat is geïmporteerd uit Key Vault
Zie Een App Service-certificaat vernieuwen om een App Service-certificaat te vernieuwen.
Als u een certificaat wilt vernieuwen dat u vanuit Key Vault in App Service hebt geïmporteerd, raadpleegt u Uw Azure Key Vault-certificaat vernieuwen.
Nadat het certificaat in uw sleutelkluis is vernieuwd, synchroniseert App Service het nieuwe certificaat automatisch en wordt elke toepasselijke certificaatbinding binnen 24 uur bijgewerkt. Voer de volgende stappen uit om handmatig te synchroniseren:
Ga naar de pagina Certificaat van uw app.
Selecteer onder Bring Your Own Certificates (.pfx) de knop ... voor het geïmporteerde sleutelkluiscertificaat en selecteer vervolgens Synchroniseren.
Veelgestelde vragen
Hoe kan ik het proces voor het toevoegen van een bring-your-own-certificaat aan een app automatiseren?
- Azure CLI: Een aangepast TLS/SSL-certificaat verbinden met een web-app
- Azure PowerShell: een aangepast TLS/SSL-certificaat binden aan een web-app met behulp van PowerShell
Kan ik een privé-CA-certificaat gebruiken voor binnenkomende TLS in mijn app?
U kunt een ca-certificaat (private certificate authority) gebruiken voor binnenkomende TLS in App Service Environment versie 3. Deze actie is niet mogelijk in App Service (multitenant). Voor meer informatie over App Service multitenant versus single tenant, zie de vergelijking tussen App Service Environment v3 en App Service public multitenant.
Kan ik uitgaande oproepen doen met behulp van een privé-CA-clientcertificaat vanuit mijn app?
Deze mogelijkheid wordt alleen ondersteund voor Windows-container-apps in Multitenant App Service. U kunt uitgaande aanroepen doen met behulp van een privé-CA-clientcertificaat met apps op basis van code en containers in App Service Environment versie 3. Voor meer informatie over App Service multitenant versus single tenant, zie de vergelijking tussen App Service Environment v3 en App Service public multitenant.
Kan ik een privé-CA-certificaat laden in mijn vertrouwde basisarchief van App Service?
U kunt uw eigen CA-certificaat laden in het vertrouwde basisarchief in App Service Environment versie 3. U kunt de lijst met vertrouwde basiscertificaten in App Service (multitenant) niet wijzigen. Voor meer informatie over App Service multitenant versus single tenant, zie de vergelijking tussen App Service Environment v3 en App Service public multitenant.
Kunnen App Service-certificaten worden gebruikt voor andere services?
Ja. U kunt App Service-certificaten exporteren en gebruiken met Azure Application Gateway of andere services. Zie het blogartikel Een lokale PFX-kopie van App Service Certificate maken voor meer informatie.