Tworzenie certyfikatu usługi App Service dla aplikacji internetowej i zarządzanie nim

W tym artykule pokazano, jak utworzyć certyfikat usługi App Service i zarządzać nim (na przykład odnawiać, synchronizować i usuwać). Po utworzeniu certyfikatu usługi App Service możesz zaimportować go do aplikacji usługi App Service. Certyfikat usługi App Service to prywatny certyfikat zarządzany przez platformę Azure. Łączy prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania.

W przypadku zakupu certyfikatu usługi App Service z platformy Azure platforma Azure zarządza następującymi zadaniami:

• Obsługuje proces zakupu od firmy GoDaddy.
• Przeprowadza weryfikację domeny certyfikatu.
• Utrzymuje certyfikat w usłudze Azure Key Vault.
• Zarządza odnawianiem certyfikatu.
• Synchronizuje certyfikat automatycznie z zaimportowanymi kopiami w aplikacjach usługi App Service.

Uwaga

Po przekazaniu certyfikatu do aplikacji certyfikat jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów, regionem i kombinacją systemu operacyjnego planu usługi App Service, wewnętrznie nazywaną przestrzenią internetową. Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej kombinacji grup zasobów i regionu. Certyfikaty przekazane lub zaimportowane do usługi App Service są współużytkowane z usługami App Services w tej samej lekcji wdrażania.

Wymagania wstępne

• Utwórz aplikację usługi App Service. Plan usługi App Service aplikacji musi znajdować się w warstwie Podstawowa, Standardowa, Premium lub Izolowana. Zobacz Skalowanie aplikacji w górę , aby zaktualizować warstwę.

Uwaga

Obecnie certyfikaty usługi App Service nie są obsługiwane w chmurach narodowych platformy Azure.

Kupowanie i konfigurowanie certyfikatu usługi App Service

Rozpocznij zakup certyfikatu

1. Przejdź do strony tworzenia certyfikatu usługi App Service i rozpocznij zakup certyfikatu usługi App Service.

   Uwaga

   Certyfikaty usługi App Service zakupione na platformie Azure są wystawiane przez firmę GoDaddy. W przypadku niektórych domen należy jawnie zezwolić usłudze GoDaddy jako wystawcy certyfikatów, tworząc rekord domeny CAA z wartością: 0 issue godaddy.com

   

2. Aby ułatwić skonfigurowanie certyfikatu, skorzystaj z poniższej tabeli. Po zakończeniu wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   Ustawienie	opis
   Subskrypcja	Subskrypcja platformy Azure do skojarzenia z certyfikatem.
   Grupa zasobów:	Grupa zasobów, która będzie zawierać certyfikat. Możesz utworzyć nową grupę zasobów lub wybrać tę samą grupę zasobów co aplikacja usługi App Service.
   SKU	Określa typ certyfikatu do utworzenia— certyfikat standardowy lub certyfikat wieloznaczny.
   Nazwa hosta domeny Naked	Określ domenę główną. Wystawiony certyfikat zabezpiecza zarówno domenę główną, jak i poddomenę www . W wystawionym certyfikacie pole Nazwa pospolita określa domenę główną, a pole Alternatywna nazwa podmiotu określa domenęwww. Aby zabezpieczyć tylko dowolną poddomenę, określ w pełni kwalifikowaną nazwę domeny dla poddomeny, na przykład mysubdomain.contoso.com.
   Nazwa certyfikatu	Przyjazna nazwa certyfikatu usługi App Service.
   Włączanie automatycznego odnawiania	Wybierz, czy certyfikat ma być odnawiany automatycznie przed wygaśnięciem. Każde odnawianie wydłuża wygaśnięcie certyfikatu o jeden rok, a koszt jest naliczany dla subskrypcji.

3. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Przechowywanie certyfikatu w usłudze Azure Key Vault

Key Vault to usługa platformy Azure, która pomaga chronić klucze kryptograficzne i wpisy tajne używane przez aplikacje i usługi w chmurze. W przypadku certyfikatów usługi App Service wybrany magazyn to Key Vault. Po zakończeniu procesu zakupu certyfikatu przed rozpoczęciem korzystania z tego certyfikatu należy wykonać jeszcze kilka kroków.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat. W menu certyfikatu wybierz pozycję Konfiguracja>certyfikatu Krok 1: Przechowywanie.

   

2. Na stronie Stan usługi Key Vault wybierz pozycję Wybierz z usługi Key Vault.

3. Jeśli tworzysz nowy magazyn, skonfiguruj magazyn na podstawie poniższej tabeli i upewnij się, że używasz tej samej subskrypcji i grupy zasobów co aplikacja usługi App Service.

   Ustawienie	opis
   Grupa zasobów:	Zalecane: ta sama grupa zasobów co certyfikat usługi App Service.
   Nazwa magazynu kluczy	Unikatowa nazwa, która używa tylko znaków alfanumerycznych i kresek.
   Region	Ta sama lokalizacja co aplikacja usługi App Service.
   Warstwa cenowa	Aby uzyskać więcej informacji, zobacz Szczegóły cennika usługi Azure Key Vault.
   Dni przechowywania usuniętych magazynów	Liczba dni po usunięciu, w których obiekty pozostają możliwe do odzyskania (zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault). Ustaw wartość z zakresu od 7 do 90.
   Ochrona przed przeczyszczaniem	Zapobiega ręcznemu przeczyszczaniu obiektów st usuniętych nietrwale. Włączenie tej opcji wymusza, aby wszystkie usunięte obiekty pozostawały w stanie usunięcia nietrwałego przez cały okres przechowywania.

4. Wybierz pozycję Dalej i wybierz pozycję Zasady dostępu do magazynu. Obecnie certyfikaty usługi App Service obsługują tylko zasady dostępu usługi Key Vault, a nie model RBAC.

5. Wybierz pozycję Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

6. Po utworzeniu magazynu kluczy nie wybieraj pozycji Przejdź do zasobu , ale poczekaj na ponowne załadowanie strony Wybieranie magazynu kluczy z usługi Azure Key Vault.

7. Wybierz pozycję Wybierz.

8. Po wybraniu magazynu zamknij stronę Repozytorium usługi Key Vault. Opcja Krok 1. Przechowywanie powinna zawierać zielony znacznik wyboru, aby wskazać powodzenie. Pozostaw stronę otwartą dla następnego kroku.

Potwierdzanie własności domeny

1. Na tej samej stronie Konfiguracja certyfikatu w poprzedniej sekcji wybierz pozycję Krok 2: Weryfikacja.

   

2. Wybierz pozycję Weryfikacja usługi App Service. Jednak ponieważ wcześniej zamapowana domena do aplikacji internetowej zgodnie z wymaganiami wstępnymi, domena jest już zweryfikowana. Aby zakończyć ten krok, po prostu wybierz pozycję Weryfikuj, a następnie wybierz pozycję Odśwież do momentu wyświetlenia komunikatu Certyfikat zweryfikowano domenę.

Obsługiwane są następujące metody weryfikacji domeny:

Metoda	opis
Weryfikacja usługi App Service	Najwygodniejsza opcja, gdy domena jest już mapowana na aplikację usługi App Service w tej samej subskrypcji, ponieważ aplikacja usługi App Service zweryfikowała już własność domeny. Zapoznaj się z ostatnim krokiem w temacie Potwierdzanie własności domeny.
Weryfikacja domeny	Potwierdź domenę usługi App Service kupioną na platformie Azure. Platforma Azure automatycznie dodaje w Twoim imieniu rekord TXT weryfikacji i kończy proces.
Weryfikacja poczty	Potwierdź domenę, wysyłając wiadomość e-mail do administratora domeny. Instrukcje są udostępniane po wybraniu opcji.
Weryfikacja ręczna	Potwierdź domenę przy użyciu rekordu TXT DNS lub strony HTML, która ma zastosowanie tylko do certyfikatów standardowych zgodnie z poniższą uwagą. Kroki są udostępniane po wybraniu opcji. Opcja strony HTML nie działa w przypadku aplikacji internetowych z włączoną opcją "Tylko protokół HTTPS". W przypadku weryfikacji domeny za pośrednictwem rekordu TXT DNS dla każdej domeny głównej (tj. "contoso.com") lub poddomena (tj. "www.contoso.com", "test.api.contoso.com") i niezależnie od jednostki SKU certyfikatu, należy dodać rekord TXT na poziomie domeny głównej przy użyciu znaku "@" jako nazwy i tokenu weryfikacji domeny dla wartości w rekordzie DNS.

Ważne

W przypadku certyfikatu standardowego uzyskasz certyfikat dla żądanej domeny najwyższego poziomu iwww poddomeny, na przykład contoso.com i www.contoso.com. Jednak weryfikacja usługi App Service i weryfikacja ręczna używają weryfikacji strony HTML, która nie obsługuje www poddomeny podczas wystawiania, zmieniania klucza ani odnawiania certyfikatu. W przypadku certyfikatu standardowego użyj weryfikacji domeny i weryfikacji poczty, aby uwzględnić www poddomenę z żądaną domeną najwyższego poziomu w certyfikacie.

Po zweryfikowaniu certyfikatu możesz go zaimportować do aplikacji usługi App Service.

Odnawianie certyfikatu usługi App Service

Domyślnie certyfikaty usługi App Service mają roczny okres ważności. Przed datą wygaśnięcia można automatycznie lub ręcznie odnowić certyfikaty usługi App Service w ciągu jednego roku. Proces odnawiania skutecznie zapewnia nowy certyfikat usługi App Service z datą wygaśnięcia przedłużoną do jednego roku od daty wygaśnięcia istniejącego certyfikatu.

Uwaga

Od 23 września 2021 r., jeśli domena nie została zweryfikowana w ciągu ostatnich 395 dni, certyfikaty usługi App Service wymagają weryfikacji domeny podczas procesu odnawiania lub ponownego klucza. Nowe zamówienie certyfikatu pozostaje w trybie "oczekiwanie na wystawianie" podczas procesu odnawiania lub ponownego klucza do momentu ukończenia weryfikacji domeny.

W przeciwieństwie do bezpłatnego certyfikatu zarządzanego usługi App Service ponowna weryfikacja domeny dla certyfikatów usługi App Service nie jest zautomatyzowana. Niepowodzenie weryfikacji własności domeny powoduje niepowodzenie odnawiania. Aby uzyskać więcej informacji na temat weryfikowania certyfikatu usługi App Service, zobacz Potwierdzanie własności domeny.

Proces odnawiania wymaga, aby dobrze znana jednostka usługi dla usługi App Service ma wymagane uprawnienia do magazynu kluczy. Te uprawnienia są konfigurowane podczas importowania certyfikatu usługi App Service za pośrednictwem witryny Azure Portal. Upewnij się, że nie usuwasz tych uprawnień z magazynu kluczy.

1. Aby zmienić ustawienie automatycznego odnawiania certyfikatu usługi App Service w dowolnym momencie, na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. W menu po lewej stronie wybierz pozycję Automatyczne odnawianie Ustawienia.

3. Wybierz pozycję Włączone lub Wyłączone, a następnie wybierz pozycję Zapisz.

   Jeśli włączysz automatyczne odnawianie, certyfikaty mogą rozpocząć automatyczne odnawianie 32 dni przed wygaśnięciem.

   

4. Aby ręcznie odnowić certyfikat, wybierz pozycję Odnów ręcznie. Możesz zażądać ręcznego odnowienia certyfikatu 60 dni przed wygaśnięciem, ale maksymalna data wygaśnięcia będzie wynosić 397 dni.

5. Po zakończeniu operacji odnawiania wybierz pozycję Synchronizuj.

   Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.

   Uwaga

   Jeśli nie wybierzesz pozycji Synchronizuj, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

Ponowne klucz i certyfikat usługi App Service

Jeśli uważasz, że klucz prywatny certyfikatu został naruszony, możesz ponownie wyklucz certyfikatu. Ta akcja powoduje wycofanie certyfikatu z nowym certyfikatem wystawionym przez urząd certyfikacji.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat. W menu po lewej stronie wybierz pozycję Zmień klucz i Synchronizuj.

2. Aby rozpocząć proces, wybierz pozycję Zmień klucz. Ukończenie tego procesu może potrwać od 1 do 10 minut.

   

3. Może być również wymagane ponowne potwierdzenie własności domeny.

4. Po zakończeniu operacji ponownego klucza wybierz pozycję Synchronizuj.

   Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.

   Uwaga

   Jeśli nie wybierzesz pozycji Synchronizuj, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

Eksportowanie certyfikatu usługi App Service

Ponieważ certyfikat usługi App Service jest wpisem tajnym usługi Key Vault, możesz wyeksportować kopię jako plik PFX, którego można użyć w przypadku innych usług platformy Azure lub spoza platformy Azure.

Ważne

Wyeksportowany certyfikat jest artefaktem niezarządzanym. Usługa App Service nie synchronizuje takich artefaktów po odnowieniu certyfikatu usługi App Service. W razie potrzeby należy wyeksportować i zainstalować odnowiony certyfikat.

Witryna Azure Portal

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. W menu po lewej stronie wybierz pozycję Eksportuj certyfikat.

3. Wybierz pozycję Otwórz wpis tajny usługi Key Vault.

4. Wybierz bieżącą wersję certyfikatu.

5. Wybierz pozycję Pobierz jako certyfikat.

Interfejs wiersza polecenia platformy Azure

Uruchom następujące polecenia w usłudze Azure Cloud Shell lub uruchom je lokalnie, jeśli zainstalowano interfejs wiersza polecenia platformy Azure. Zastąp symbole zastępcze nazwami użytymi podczas zakupu certyfikatu usługi App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Pobrany plik PFX jest nieprzetworzonym plikiem PKCS12 zawierającym zarówno certyfikaty publiczne, jak i prywatne, i ma hasło importu, które jest pustym ciągiem. Plik można zainstalować lokalnie, pozostawiając puste pole hasła. Nie można przekazać pliku jako pliku do usługi App Service , ponieważ plik nie jest chroniony hasłem.

Usuwanie certyfikatu usługi App Service

Jeśli usuniesz certyfikat usługi App Service, operacja usuwania jest nieodwracalna i ostateczna. Wynikiem jest odwołany certyfikat, a każde powiązanie w usłudze App Service, które używa tego certyfikatu, staje się nieprawidłowe.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. Z menu po lewej stronie wybierz pozycję Przegląd>Usuń.

3. Po otwarciu pola potwierdzenia wprowadź nazwę certyfikatu i wybierz przycisk OK.

Często zadawane pytania

Mój certyfikat usługi App Service nie ma żadnej wartości w usłudze Key Vault

Certyfikat usługi App Service najprawdopodobniej nie został jeszcze zweryfikowany przez domenę. Dopóki własność domeny nie zostanie potwierdzona, certyfikat usługi App Service nie jest gotowy do użycia. Jako wpis tajny magazynu kluczy utrzymuje Initialize tag, a jego wartość i typ zawartości pozostają puste. Po potwierdzeniu własności domeny wpis tajny magazynu kluczy zawiera wartość i typ zawartości, a tag zmienia się na Ready.

Nie mogę wyeksportować certyfikatu usługi App Service za pomocą programu PowerShell

Certyfikat usługi App Service najprawdopodobniej nie został jeszcze zweryfikowany przez domenę. Dopóki własność domeny nie zostanie potwierdzona, certyfikat usługi App Service nie jest gotowy do użycia.

Jakie zmiany wprowadza proces tworzenia certyfikatu usługi App Service w istniejącym magazynie Key Vault?

Proces tworzenia wprowadza następujące zmiany:

• Dodaje dwie zasady dostępu w magazynie:
  • Microsoft.Azure.WebSites (lub Microsoft Azure App Service)
  • Dostawca zasobów CSM odsprzedawcy certyfikatów firmy Microsoft (lub Microsoft.Azure.CertificateRegistration)
• Tworzy blokadę usuwania w magazynie o nazwie : AppServiceCertificateLock aby zapobiec przypadkowemu usunięciu magazynu kluczy.

Więcej zasobów

• Zabezpieczanie niestandardowej nazwy DNS przy użyciu powiązania TLS/SSL w usłudze aplikacja systemu Azure
• Wymuszanie protokołu HTTPS
• Wymuszanie protokołu TLS 1.1/1.2
• Używanie certyfikatu TLS/SSL w kodzie w usłudze Azure App Service
• Często zadawane pytania: Certyfikaty usługi App Service