App Service-certificaten kopen en beheren

Belangrijk

Vanaf 28 juli 2025 hebben wijzigingen in door App Service beheerde certificaten (ASMC) invloed op de wijze waarop certificaten worden uitgegeven en vernieuwd in bepaalde scenario's. Hoewel de meeste klanten geen actie hoeven te ondernemen, raden we u aan onze gedetailleerde blogpost van ASMC te bekijken voor meer informatie.

In dit artikel leest u hoe u een Azure App Service-certificaat maakt en beheertaken uitvoert, zoals het vernieuwen, synchroniseren en verwijderen van certificaten. Nadat u een App Service-certificaat hebt, kunt u het importeren in een App Service-app. Een App Service-certificaat is een privécertificaat dat door Azure wordt beheerd. Het certificaat biedt de eenvoud van geautomatiseerd certificaatbeheer, gecombineerd met de flexibiliteit van opties voor verlengen en exporteren.

Als u een App Service-certificaat aanschaft bij Azure, beheert Azure de volgende taken:

• Verwerkt het aankoopproces van GoDaddy.
• Domeinverificatie van het certificaat uitvoeren.
• Het certificaat in Azure Key Vault onderhouden.
• Hiermee beheert u het vernieuwen van certificaten.
• Hiermee synchroniseert u het certificaat automatisch met de geïmporteerde kopieën in App Service-apps.

Nadat u een certificaat naar een app hebt geüpload, wordt het certificaat opgeslagen in een implementatie-eenheid die is gebonden aan de combinatie van resourcegroep, regio en besturingssysteem van het App Service-plan. Intern wordt het een webruimte genoemd. Op die manier is het certificaat toegankelijk voor andere apps in dezelfde resourcegroep en regiocombinatie. Certificaten die zijn geüpload of geïmporteerd in App Service, worden gedeeld met app-services in dezelfde implementatie-eenheid.

Vereisten

• Maak een App Service-app. Het App Service-plan van de app moet zich in de laag Basic, Standard, Premium of Isolated bevinden. Zie Een app omhoog schalen om de laag bij te werken.

Momenteel worden App Service-certificaten niet ondersteund in nationale Azure-clouds.

Een App Service-certificaat kopen en configureren

Het certificaat kopen

1. Ga naar de pagina App Service-certificaat aanmaken om de aankoop te starten.

   Notitie

   GoDaddy geeft App Service-certificaten uit die zijn gekocht bij Azure. Voor sommige domeinen moet u GoDaddy expliciet toestaan als certificaatverlener door een domeinrecord voor certificeringsinstantie-autorisatie te maken met de waarde 0 issue godaddy.com.

   

2. Gebruik de volgende tabel om het certificaat te configureren. Wanneer u klaar bent, selecteert u Beoordelen en maken en dan selecteert u Maken.

   Instelling	Beschrijving
   Abonnement	Het Azure-abonnement dat moet worden gekoppeld aan het certificaat.
   Resourcegroep	De resourcegroep die het certificaat bevat. U kunt een nieuwe resourcegroep maken of dezelfde resourcegroep selecteren als uw App Service-app.
   SKU	Bepaalt het type certificaat dat moet worden gemaakt, ofwel een standaardcertificaat of een jokertekencertificaat.
   Naakte domeinhostnaam	Geef het hoofddomein op. Het uitgegeven certificaat biedt beveiliging voor zowel het hoofddomein als het www subdomein. In het uitgegeven certificaat geeft het veld Algemene naam het hoofddomein op. Het veld Alternatieve onderwerpnaam geeft het www domein op. Als u alleen beveiliging wilt bieden voor een subdomein, geeft u bijvoorbeeld de volledig gekwalificeerde domeinnaam op voor het subdomein mysubdomain.contoso.com.
   Certificaatnaam	De vriendelijke naam voor uw App Service-certificaat.
   Automatische verlenging inschakelen	Selecteer of het certificaat automatisch moet worden vernieuwd voordat het verloopt. Elke verlenging verlengt de vervaldatum van het certificaat met één jaar. De kosten worden in rekening gebracht voor uw abonnement.

3. Nadat de implementatie is voltooid, selecteert u Ga naar de resource.

Het certificaat opslaan in Azure Key Vault

Key Vault is een Azure-service waarmee u cryptografische sleutels en geheimen kunt beveiligen die door cloudtoepassingen en -services worden gebruikt. Voor App Service-certificaten wordt u aangeraden Key Vault te gebruiken. Nadat u het aankoopproces van het certificaat hebt voltooid, moet u nog enkele stappen uitvoeren voordat u het certificaat gaat gebruiken.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer in het deelvenster Certificaatconfiguratie>stap 1: Opslaan.

   

2. Kies Selecteren in Key Vault op de pagina Key Vault-status.

3. Als u een nieuwe kluis maakt, stelt u de kluis in volgens de volgende tabel. Zorg ervoor dat u hetzelfde abonnement en dezelfde resourcegroep gebruikt als uw App Service-app.

   Instelling	Beschrijving
   Resourcegroep	Aanbevolen: dezelfde resourcegroep als uw App Service-certificaat.
   Naam van sleutelkluis	Een unieke naam die alleen alfanumerieke tekens en streepjes gebruikt.
   Regio	Dezelfde locatie als uw App Service-app.
   Prijscategorie	Zie Prijzen van Azure Key Vault voor meer informatie.
   Dagen om verwijderde kluizen te bewaren	Het aantal dagen na verwijdering dat objecten kunnen worden hersteld. (Zie Azure Key Vault soft-delete overzicht.) Stel een waarde in tussen 7 en 90.
   Beveiliging tegen verwijdering	Als u deze optie inschakelt, blijven alle verwijderde objecten voorlopig verwijderd gedurende de gehele duur van de bewaarperiode.

4. Klik op Volgende en vervolgens op Kluistoegangsbeleid. Momenteel ondersteunen App Service-certificaten alleen key Vault-toegangsbeleid, niet het op rollen gebaseerde toegangsbeheermodel.

5. Selecteer Controleren + maken en selecteer vervolgens Maken.

6. Nadat de sleutelkluis is gemaakt, selecteert u Niet naar de resource gaan. Wacht totdat de pagina Sleutelkluis selecteren van Azure Key Vault opnieuw is geladen.

7. Kies en selecteer.

8. Nadat u de kluis hebt geselecteerd, sluit u de Key Vault-opslag pagina. De stap 1: Winkeloptie moet een groen vinkje weergeven om aan te geven dat het is gelukt. Houd de pagina geopend voor de volgende stap.

Eigendom van domein bevestigen

1. Selecteer stap 2 op dezelfde pagina Certificaatconfiguratie als in de vorige sectie : Verifiëren.

   

2. Selecteer App Service-verificatie. Omdat u het domein eerder in deze sectie aan uw web-app hebt toegewezen, is het domein al geverifieerd. Als u deze stap wilt voltooien, selecteert u Verifiëren en selecteert u Vernieuwen totdat het bericht Certificaat is geverifieerd.

De volgende methoden voor domeinverificatie worden ondersteund:

Wijze	Beschrijving
App Service-verificatie	De handigste optie wanneer het domein al is toegewezen aan een App Service-app in hetzelfde abonnement omdat de App Service-app het eigendom van het domein heeft geverifieerd. Bekijk de laatste stap in Domeineigendom bevestigen.
Domeinverificatie	Bevestig een App Service-domein dat u bij Azure hebt gekocht. Azure voegt automatisch de TXT-verificatierecord voor u toe en voltooit het proces.
E-mailverificatie	Bevestig het domein door een e-mailbericht naar de domeinbeheerder te verzenden. Er worden instructies weergegeven wanneer u de optie selecteert.
Handmatige verificatie	Bevestig het domein met behulp van een DNS-record (Domain Name System) of een HTML-pagina. (Deze laatste geldt alleen voor Standaardcertificaten. Zie de volgende opmerking.) De stappen worden weergegeven nadat u de optie hebt geselecteerd. De optie HTML-pagina werkt niet voor web-apps waarvoor ALLEEN HTTPS is ingeschakeld. Voor domeinverificatie via DNS TXT-record voor het hoofddomein (bijvoorbeeld contoso.com) of het subdomein (bijvoorbeeld www.contoso.com of test.api.contoso.com) en ongeacht de certificaat-SKU moet u een TXT-record toevoegen op het niveau van het hoofddomein. Gebruik @ voor de naam en het domeinverificatietoken voor de waarde in uw DNS-record.

Belangrijk

Met het standaardcertificaat krijgt u een certificaat voor het aangevraagde domein op het hoogste niveau en het www subdomein, bijvoorbeeld contoso.com en www.contoso.com. App Service-verificatie en handmatige verificatie gebruiken beide HTML-paginaverificatie, die geen ondersteuning biedt voor het www subdomein wanneer u een certificaat uitgeeft, opnieuw versleutelt of verlengt. Gebruik voor het standaardcertificaat domeinverificatie en e-mailverificatie om het www subdomein op te nemen met het aangevraagde domein op het hoogste niveau in het certificaat.

Nadat uw certificaat is geverifieerd, kunt u het importeren in een App Service-app.

Een App Service-certificaat vernieuwen.

App Service-certificaten hebben standaard een geldigheidsperiode van één jaar. Vóór de vervaldatum kunt u App Service-certificaten automatisch of handmatig verlengen in stappen van één jaar. Het verlengingsproces geeft u effectief een nieuw App Service-certificaat met de datum van afloop verlengd tot één jaar vanaf de datum van afloop van het bestaande certificaat.

Vanaf 23 september 2021, als u het domein de afgelopen 395 dagen niet hebt geverifieerd, vereisen App Service-certificaten domeinverificatie tijdens een vernieuwings-, autorenewal- of hersleutelingsproces. De nieuwe certificaataanvraag blijft in de uitgiftemodus In behandeling tijdens het vernieuwings-, autovernieuwings- of opnieuw genereren van sleutels-proces totdat u de domeinverificatie hebt voltooid.

In tegenstelling tot het gratis door App Service beheerde certificaat hebben aangeschafte App Service-certificaten geen automatische herverificering van domeinen. Mislukte verificatie van het eigendom van het domein resulteert in mislukte verlengingen. Zie Domeineigendom bevestigen voor meer informatie over het verifiëren van uw App Service-certificaat.

Voor het verlengingsproces moet de service-principal voor App Service beschikken over de vereiste machtigingen voor uw sleutelkluis. Deze machtigingen worden voor u ingesteld wanneer u een App Service-certificaat importeert via Azure Portal. Zorg ervoor dat u deze machtigingen niet verwijdert uit uw sleutelkluis.

1. Als u de instelling voor automatische verlenging voor uw App Service-certificaat op elk gewenst moment wilt wijzigen, selecteert u het certificaat op de pagina App Service-certificaten.

2. Selecteer Instellingen voor automatisch verlengen in het linkerdeelvenster.

3. Selecteer Aan of Uit en selecteer Opslaan.

   Als u automatische verlenging inschakelt, kunnen certificaten 32 dagen voor de vervaldatum automatisch worden verlengd.

   

4. Als u het certificaat handmatig wilt vernieuwen, selecteert u Handmatig verlengen. U kunt 60 dagen voor de vervaldatum aanvragen om uw certificaat handmatig te verlengen, maar certificaten kunnen niet langer dan 397 dagen worden uitgegeven.

5. Nadat de verlengingsbewerking is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Een App Service-certificaat opnieuw versleutelen

Als u denkt dat de persoonlijke sleutel van uw certificaat is gecompromitteerd, kunt u uw certificaat opnieuw versleutelen. Met deze actie wordt het certificaat vervangen door een nieuw certificaat dat is uitgegeven door de certificaatautoriteit.

Vanaf 23 september 2021, als u het domein de afgelopen 395 dagen niet hebt geverifieerd, vereisen App Service-certificaten domeinverificatie tijdens een vernieuwings-, autorenewal- of hersleutelingsproces. De nieuwe certificaataanvraag blijft in de uitgiftemodus In behandeling tijdens het vernieuwings-, autovernieuwings- of opnieuw genereren van sleutels-proces totdat u de domeinverificatie hebt voltooid.

In tegenstelling tot het gratis door App Service beheerde certificaat hebben aangeschafte App Service-certificaten geen automatische herverificering van domeinen. Mislukte verificatie van het eigendom van het domein resulteert in mislukte verlengingen. Zie Domeineigendom bevestigen voor meer informatie over het verifiëren van uw App Service-certificaat.

Voor het opnieuw versleutelen is vereist dat de service-principal voor App Service beschikt over de vereiste machtigingen voor uw sleutelkluis. Deze machtigingen worden voor u ingesteld wanneer u een App Service-certificaat importeert via Azure Portal. Zorg ervoor dat u deze machtigingen niet verwijdert uit uw sleutelkluis.

1. Selecteer het certificaat op de pagina App Service-certificaten. Selecteer Opnieuw versleutelen en synchroniseren in het linkerdeelvenster.

2. Selecteer Opnieuw versleutelen om het proces te starten. Dit proces kan 1 tot 10 minuten duren.

   

3. Mogelijk moet u ook het eigendom van het domein opnieuw bevestigen.

4. Nadat de bewerking opnieuw versleutelen is voltooid, selecteert u Synchroniseren.

   Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.

   Als u Synchronisatie niet selecteert, synchroniseert App Service uw certificaat automatisch binnen 24 uur.

Een App Service-certificaat exporteren

Omdat een App Service-certificaat een Key Vault-geheim is, kunt u een kopie exporteren als een PFX-bestand, dat u kunt gebruiken voor andere Azure-services of buiten Azure.

Het geëxporteerde certificaat is een onbeheerd artefact. App Service synchroniseert dergelijke artefacten niet wanneer het App Service-certificaat wordt vernieuwd. U moet het vernieuwde certificaat waar nodig exporteren en installeren.

Azure-portal

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Certificaat exporteren in het linkerdeelvenster.

3. Selecteer Key Vault-geheim openen.

4. Selecteer de huidige versie van het certificaat.

5. Selecteer Downloaden als een certificaat.

Azure-CLI

Voer de volgende opdrachten uit in Azure Cloud Shell of voer ze lokaal uit als u de Azure CLI hebt geïnstalleerd. Vervang de tijdelijke aanduidingen door de namen die u hebt gebruikt bij het kopen van het App Service-certificaat.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Het gedownloade PFX-bestand is een onbewerkt PKCS12-bestand dat zowel de openbare als de persoonlijke certificaten bevat en een importwachtwoord heeft dat een lege tekenreeks is. U kunt het bestand lokaal installeren door het wachtwoordveld leeg te laten. U kunt het bestand niet uploaden zoals het in App Service is , omdat het bestand niet met een wachtwoord is beveiligd.

Azure Advisor gebruiken voor App Service-certificaten

Een App Service-certificaat is geïntegreerd met Azure Advisor om betrouwbaarheidsaanbeveling te bieden wanneer uw certificaat domeinverificatie vereist. Als u het domein de afgelopen 395 dagen niet hebt geverifieerd, moet u tijdens het verlengen, automatisch verlengen of opnieuw versleutelen het domeineigendom verifiëren voor uw certificaat. Gebruik Advisor om waarschuwingen voor het App Service-certificaat weer te geven en in te stellen, zodat u geen enkele verificatieverplichting mist of het risico loopt dat een certificaat verloopt.

Advisor-aanbevelingen weergeven

Advisor-aanbevelingen voor het App Service-certificaat weergeven:

1. Ga naar de azure Advisor-pagina.

2. Selecteer in het linkerdeelvenster Aanbevelingen>betrouwbaarheid.

3. Selecteer de filteroptie Type is gelijk aan en zoek naar App Service-certificaten in de vervolgkeuzelijst. Als de waarde niet bestaat in de vervolgkeuzelijst, betekent dit dat er geen aanbeveling is gegenereerd voor uw App Service-certificaatbronnen, omdat voor geen van deze resources verificatie van domeineigendom is vereist.

Advisor-waarschuwingen maken

U maakt Advisor-waarschuwingen voor nieuwe aanbevelingen met behulp van verschillende configuraties. Om Advisor-waarschuwingen specifiek in te stellen voor een App Service-certificaat, zodat u meldingen kunt ontvangen wanneer voor uw certificaat validatie van domeineigendom is vereist:

1. Ga naar de azure Advisor-pagina.

2. Selecteer Monitoring> in het linkerdeelvenster.

3. Selecteer + Nieuwe Advisor-waarschuwing op de balk bovenaan om het deelvenster Advisor-waarschuwingen maken te openen.

4. Selecteer onder Voorwaarde de volgende optie:

   Geconfigureerd door	Aanbevelingstype
   Aanbevelingstype	Domeinverificatie vereist om uw App Service-certificaat uit te geven.

5. Vul de rest van de vereiste velden in en selecteer vervolgens Waarschuwing maken.

Een App Service-certificaat verwijderen

Als u een App Service-certificaat verwijdert, is de verwijderbewerking onomkeerbaar en definitief. Het resultaat is een ingetrokken certificaat. Elke binding in App Service die gebruikmaakt van het certificaat wordt ongeldig.

1. Selecteer het certificaat op de pagina App Service-certificaten.

2. Selecteer Overzicht>verwijderen in het linkerdeelvenster.

3. Wanneer het bevestigingsvak wordt geopend, voert u de certificaatnaam in en selecteert u OK.

Veelgestelde vragen

Waarom heeft mijn App Service-certificaat geen waarde in Key Vault?

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik. Als sleutelkluisgeheim onderhoudt het een Initialize tag en blijft de waarde en het inhoudstype leeg. Wanneer het eigendom van het domein wordt bevestigd, toont het sleutelkluisgeheim een waarde en een inhoudstype en verandert de tag in Ready.

Waarom kan ik mijn App Service-certificaat niet exporteren met PowerShell?

Uw App Service-certificaat is waarschijnlijk nog niet geverifieerd door een domein. Totdat het eigendom van het domein is bevestigd, is uw App Service-certificaat niet gereed voor gebruik.

Welke wijzigingen brengt het maken van het App Service-certificaat aan in mijn bestaande sleutelkluis?

Tijdens het aanmaakproces worden de volgende wijzigingen aangebracht:

• Hiermee voegt u twee toegangsbeleidsregels toe aan de kluis:
  • Microsoft Azure App Service (of Microsoft.Azure.WebSites)
  • Microsoft-certificaatverkoper CSM-resourceprovider (of Microsoft.Azure.CertificateRegistration)
• Hiermee creëert u een verwijderingsvergrendeling genaamd AppServiceCertificateLock op de kluis om te voorkomen dat de sleutelkluis per ongeluk wordt verwijderd.

Gerelateerde inhoud

• Een aangepaste DNS-naam beveiligen met een TLS/SSL-binding in Azure App Service
• HTTPS afdwingen
• TLS 1.1/1.2 afdwingen
• Een TLS/SSL-certificaat gebruiken in uw code in Azure App Service
• Veelgestelde vragen over het maken of verwijderen van resources in Azure-app Service