Zobacz Dodawanie certyfikatów TLS/SSL i zarządzanie nimi w Azure App Service

Możesz dodać certyfikaty zabezpieczeń cyfrowych do użycia w kodzie aplikacji lub zabezpieczyć niestandardowe nazwy DNS w usłudze aplikacja systemu Azure Service, która zapewnia wysoce skalowalną, samonaklejającą usługę hostingu internetowego. Obecnie nazywane certyfikatami Protokołu TLS (Transport Layer Security), znane również jako certyfikaty Secure Socket Layer (SSL), te certyfikaty prywatne lub publiczne ułatwiają zabezpieczanie połączeń internetowych przez szyfrowanie danych wysyłanych między przeglądarką, witrynami internetowymi, które odwiedzasz i serwerem witryny sieci Web.

W poniższej tabeli wymieniono opcje dodawania certyfikatów w usłudze App Service:

Opcja Opis
Tworzenie bezpłatnego certyfikatu zarządzanego usługi App Service Prywatny certyfikat, który jest bezpłatny i łatwy w użyciu, jeśli wystarczy zabezpieczyć domenę niestandardową w usłudze App Service.
Importowanie certyfikatu usługi App Service Prywatny certyfikat zarządzany przez platformę Azure. Łączy prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania.
Importowanie certyfikatu z usługi Key Vault Przydatne, jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami PKCS12. Zobacz Wymagania dotyczące certyfikatu prywatnego.
Przekazywanie certyfikatu prywatnego Jeśli masz już certyfikat prywatny od dostawcy innej firmy, możesz go przekazać. Zobacz Wymagania dotyczące certyfikatu prywatnego.
Przekazywanie certyfikatu publicznego Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można załadować je do kodu, jeśli są one potrzebne do uzyskiwania dostępu do zasobów zdalnych.

Wymagania wstępne

Wymagania dotyczące certyfikatu prywatnego

Bezpłatny certyfikat zarządzany przez usługę App Service i certyfikat usługi App Service spełniają już wymagania usługi App Service. Jeśli zdecydujesz się przekazać lub zaimportować certyfikat prywatny do usługi App Service, certyfikat musi spełniać następujące wymagania:

  • Wyeksportowany jako plik PFX chroniony hasłem, zaszyfrowany przy użyciu potrójnego des.
  • Zawiera klucz prywatny o długości co najmniej 2048 bitów
  • Zawiera wszystkie certyfikaty pośrednie i certyfikat główny w łańcuchu certyfikatów.

Aby zabezpieczyć domenę niestandardową w powiązaniu tls, certyfikat ma więcej wymagań:

  • Zawiera rozszerzone użycie klucza na potrzeby uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1)
  • Podpisany przez zaufany urząd certyfikacji

Uwaga

Certyfikaty kryptografii krzywej eliptycznej (ECC) działają z usługą App Service, ale nie zostały omówione w tym artykule. Aby uzyskać szczegółowe instrukcje tworzenia certyfikatów ECC, należy pracować z urzędem certyfikacji.

Uwaga

Po dodaniu certyfikatu prywatnego do aplikacji certyfikat jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów, regionem i kombinacją systemu operacyjnego planu usługi App Service, nazywaną wewnętrznie przestrzenią internetową. Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej grupie zasobów, regionie i kombinacji systemu operacyjnego. Prywatne certyfikaty przekazane lub zaimportowane do usługi App Service są współużytkowane z usługami App Services w tej samej lekcji wdrażania.

Możesz dodać maksymalnie 1000 prywatnych certyfikatów na przestrzeń internetową.

Tworzenie bezpłatnego certyfikatu zarządzanego

Bezpłatny certyfikat zarządzany przez usługę App Service to kompleksowe rozwiązanie do zabezpieczania niestandardowej nazwy DNS w usłudze App Service. Bez żadnej akcji ten certyfikat serwera TLS/SSL jest w pełni zarządzany przez usługę App Service i jest automatycznie odnawiany w sposób ciągły w sześciu miesiącach przyrostów, 45 dni przed wygaśnięciem, o ile wymagania wstępne skonfigurowane pozostają takie same. Wszystkie skojarzone powiązania są aktualizowane przy użyciu odnowionego certyfikatu. Utworzysz i powiążesz certyfikat z domeną niestandardową, a usługa App Service zrobi resztę.

Ważne

Przed utworzeniem bezpłatnego certyfikatu zarządzanego upewnij się, że zostały spełnione wymagania wstępne aplikacji.

Bezpłatne certyfikaty są wystawiane przez firmę DigiCert. W przypadku niektórych domen należy jawnie zezwolić firmie DigiCert na wystawcę certyfikatów, tworząc rekord domeny CAA z wartością : 0 issue digicert.com.

Platforma Azure w pełni zarządza certyfikatami w Twoim imieniu, więc każdy aspekt certyfikatu zarządzanego, w tym wystawca główny, może ulec zmianie w dowolnym momencie. Te zmiany wykraczają poza twoją kontrolę. Pamiętaj, aby uniknąć twardych zależności i "przypinanie" certyfikatów praktyk do zarządzanego certyfikatu lub dowolnej części hierarchii certyfikatów. Jeśli potrzebujesz zachowania przypinania certyfikatu, dodaj certyfikat do domeny niestandardowej przy użyciu dowolnej innej dostępnej metody w tym artykule.

Bezpłatny certyfikat ma następujące ograniczenia:

  • Nie obsługuje certyfikatów z symbolami wieloznacznymi.
  • Nie obsługuje użycia jako certyfikatu klienta przy użyciu odcisku palca certyfikatu, który jest planowany do wycofania i usunięcia.
  • Nie obsługuje prywatnego systemu DNS.
  • Nie można eksportować.
  • Nie jest obsługiwana w środowisku App Service Environment (ASE).
  • Obsługuje tylko znaki alfanumeryczne, kreski (-) i kropki (.).
  • Obsługiwane są tylko domeny niestandardowe o długości do 64 znaków.
  • Musi mieć rekord A wskazujący adres IP aplikacji internetowej.
  • Nie jest obsługiwana w aplikacjach, które nie są publicznie dostępne.
  • Nie jest obsługiwana w przypadku domen głównych zintegrowanych z usługą Traffic Manager.
  • Musi spełniać wszystkie powyższe wymagania dotyczące pomyślnego wystawiania i odnawiania certyfikatów.
  1. W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.

  2. W menu nawigacji aplikacji wybierz pozycję Certyfikaty. W okienku Zarządzane certyfikaty wybierz pozycję Dodaj certyfikat.

    Zrzut ekranu przedstawiający menu aplikacji z wybraną pozycją

  3. Wybierz domenę niestandardową dla bezpłatnego certyfikatu, a następnie wybierz pozycję Weryfikuj. Po zakończeniu walidacji wybierz pozycję Dodaj. Dla każdej obsługiwanej domeny niestandardowej można utworzyć tylko jeden zarządzany certyfikat.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Zarządzane certyfikaty .

    Zrzut ekranu przedstawiający okienko

  4. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.

Importowanie certyfikatu usługi App Service

Aby zaimportować certyfikat usługi App Service, najpierw kup i skonfiguruj certyfikat usługi App Service, a następnie wykonaj kroki opisane tutaj.

  1. W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.

  2. Z menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Dodaj certyfikat.

  3. W obszarze Źródło wybierz pozycję Importuj certyfikat usługi App Service.

  4. W obszarze Certyfikat usługi App Service wybierz właśnie utworzony certyfikat.

  5. W polu Przyjazna nazwa certyfikatu nadaj certyfikatowi nazwę w aplikacji.

  6. Wybierz Potwierdź. Po pomyślnym zakończeniu walidacji wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający stronę zarządzania aplikacjami z wybraną pozycją

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ).

    Zrzut ekranu przedstawiający okienko

  7. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.

Importowanie certyfikatu z usługi Key Vault

Jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami, możesz zaimportować certyfikat PKCS12 do usługi App Service z usługi Key Vault, jeśli spełniasz wymagania.

Autoryzowanie usługi App Service do odczytu z magazynu

Domyślnie dostawca zasobów usługi App Service nie ma dostępu do magazynu kluczy. Aby użyć magazynu kluczy do wdrożenia certyfikatu, musisz autoryzować dostęp do odczytu dostawcy zasobów do magazynu kluczy.

Uwaga

Obecnie witryna Azure Portal nie zezwala na konfigurowanie certyfikatu usługi App Service w usłudze Key Vault w celu korzystania z modelu RBAC. Do wykonania tej konfiguracji można jednak użyć interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub wdrożenia szablonu usługi ARM. Aby uzyskać więcej informacji, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure.

Dostawca zasobów Identyfikator appid jednostki usługi Uprawnienia wpisu tajnego magazynu kluczy Uprawnienia certyfikatu usługi Key Vault
Microsoft aplikacja systemu Azure Service lub Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd, który jest taki sam dla wszystkich subskrypcji platformy Azure

— W przypadku środowiska chmury platformy Azure Government użyj polecenia 6a02c803-dafd-4136-b4c3-5a6f318b4714.
Get Get
Microsoft.Azure.CertificateRegistration Get
List
Zestaw
Delete
Get
List

Importowanie certyfikatu z magazynu do aplikacji

  1. W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.

  2. Z menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Dodaj certyfikat.

  3. W obszarze Źródło wybierz pozycję Importuj z usługi Key Vault.

  4. Wybierz pozycję Wybierz certyfikat magazynu kluczy.

    Zrzut ekranu przedstawiający stronę zarządzania aplikacjami z wybranymi opcjami

  5. Aby ułatwić wybranie certyfikatu, skorzystaj z poniższej tabeli:

    Ustawienie opis
    Subskrypcja Subskrypcja skojarzona z magazynem kluczy.
    Magazyn kluczy Magazyn kluczy, który ma certyfikat, który chcesz zaimportować.
    Certyfikat Z tej listy wybierz certyfikat PKCS12 znajdujący się w magazynie. Wszystkie certyfikaty PKCS12 w magazynie są wyświetlane z odciskami palca, ale nie wszystkie są obsługiwane w usłudze App Service.
  6. Po zakończeniu zaznaczenia wybierz pozycję Wybierz, Zweryfikuj, a następnie dodaj.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ). Jeśli importowanie zakończy się niepowodzeniem z powodu błędu, certyfikat nie spełnia wymagań usługi App Service.

    Zrzut ekranu przedstawiający okienko

    Uwaga

    Jeśli zaktualizujesz certyfikat w usłudze Key Vault przy użyciu nowego certyfikatu, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

  7. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.

Przekazywanie certyfikatu prywatnego

Po otrzymaniu certyfikatu od dostawcy certyfikatu przygotuj go do korzystania z usługi App Service, wykonując kroki opisane w tej sekcji.

Scalanie certyfikatów pośrednich

Jeśli urząd certyfikacji daje wiele certyfikatów w łańcuchu certyfikatów, należy scalić certyfikaty zgodnie z tą samą kolejnością.

  1. W edytorze tekstów otwórz każdy odebrany certyfikat.

  2. Aby zapisać scalony certyfikat, utwórz plik o nazwie mergedcertificate.crt.

  3. Skopiuj zawartość dla każdego certyfikatu do tego pliku. Pamiętaj, aby postępować zgodnie z sekwencją certyfikatów określoną przez łańcuch certyfikatów, zaczynając od certyfikatu i kończąc na certyfikacie głównym, na przykład:

    -----BEGIN CERTIFICATE-----
    <your entire Base64 encoded SSL certificate>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 1>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 2>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded root certificate>
    -----END CERTIFICATE-----
    

Eksportowanie scalonego certyfikatu prywatnego do pliku PFX

Teraz wyeksportuj scalony certyfikat TLS/SSL z kluczem prywatnym, który został użyty do wygenerowania żądania certyfikatu. Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, utworzono plik klucza prywatnego.

Uwaga

Protokół OpenSSL w wersji 3 zmienił domyślny szyfr z 3DES na AES256, ale można go zastąpić w wierszu polecenia -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. Protokół OpenSSL w wersji 1 używa formatu 3DES jako domyślnego, dlatego wygenerowane pliki PFX są obsługiwane bez żadnych specjalnych modyfikacji.

  1. Aby wyeksportować certyfikat do pliku PFX, uruchom następujące polecenie, ale zastąp symbole zastępcze private-key-file i <merged-certificate-file>> ścieżkami do klucza prywatnego i scalonego pliku certyfikatu.<

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
    
  2. Po wyświetleniu monitu określ hasło dla operacji eksportowania. Po przekazaniu certyfikatu TLS/SSL do usługi App Service później należy podać to hasło.

  3. Jeśli użyto usług IIS lub Certreq.exe do wygenerowania żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.

Przekazywanie certyfikatu do usługi App Service

Teraz możesz przekazać certyfikat do usługi App Service.

  1. W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.

  2. W menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Przekaż certyfikat.

    Zrzut ekranu przedstawiający opcję

  3. Aby ułatwić przekazanie certyfikatu pfx, użyj poniższej tabeli:

    Ustawienie opis
    Plik certyfikatu PFX Wybierz plik pfx.
    Hasło certyfikatu Wprowadź hasło utworzone podczas eksportowania pliku PFX.
    Przyjazna nazwa certyfikatu Nazwa certyfikatu, która będzie wyświetlana w aplikacji internetowej.
  4. Po zakończeniu zaznaczenia wybierz pozycję Wybierz, Zweryfikuj, a następnie dodaj.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ).

    Zrzut ekranu przedstawiający okienko

  5. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.

Przekazywanie certyfikatu publicznego

Certyfikaty publiczne są obsługiwane w formacie .cer .

Uwaga

Po przekazaniu certyfikatu publicznego do aplikacji jest on dostępny tylko dla aplikacji, do której jest przekazywany. Certyfikaty publiczne muszą być przekazywane do każdej pojedynczej aplikacji internetowej, która wymaga dostępu. W przypadku scenariuszy specyficznych dla środowiska App Service Environment zapoznaj się z dokumentacją dotyczącą certyfikatów i środowiska App Service Environment

Możesz przekazać maksymalnie 1000 certyfikatów publicznych na plan usługi App Service.

  1. W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.

  2. Z menu nawigacji aplikacji wybierz pozycję Certyfikaty certyfikatów certyfikatów>klucza publicznego (.cer)>Dodaj certyfikat.

  3. Aby ułatwić przekazanie certyfikatu .cer, skorzystaj z poniższej tabeli:

    Ustawienie opis
    Plik certyfikatu CER Wybierz plik .cer.
    Przyjazna nazwa certyfikatu Nazwa certyfikatu, która będzie wyświetlana w aplikacji internetowej.
  4. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający nazwę i certyfikat klucza publicznego do przekazania.

  5. Po przekazaniu certyfikatu skopiuj odcisk palca certyfikatu, a następnie przejrzyj pozycję Udostępnij certyfikat.

Odnawianie wygasającego certyfikatu

Przed wygaśnięciem certyfikatu upewnij się, że dodano odnowiony certyfikat do usługi App Service i zaktualizuj wszystkie powiązania certyfikatów, w których proces zależy od typu certyfikatu. Na przykład certyfikat zaimportowany z usługi Key Vault, w tym certyfikat usługi App Service, jest automatycznie synchronizowany z usługą App Service co 24 godziny i aktualizuje powiązanie TLS/SSL podczas odnawiania certyfikatu. W przypadku przekazanego certyfikatu nie ma automatycznej aktualizacji powiązania. W zależności od scenariusza przejrzyj odpowiednią sekcję:

Odnawianie przekazanego certyfikatu

Po zastąpieniu wygasającego certyfikatu sposób aktualizowania powiązania certyfikatu nowym certyfikatem może mieć negatywny wpływ na środowisko użytkownika. Na przykład adres IP dla ruchu przychodzącego może ulec zmianie po usunięciu powiązania, nawet jeśli to powiązanie jest oparte na adresie IP. Ten wynik jest szczególnie istotny podczas odnawiania certyfikatu, który jest już w powiązaniu opartym na adresach IP. Aby uniknąć zmiany adresu IP aplikacji i uniknąć przestoju aplikacji z powodu błędów protokołu HTTPS, wykonaj następujące kroki w określonej sekwencji:

  1. Przekaż nowy certyfikat.

  2. Przejdź do strony Domeny niestandardowe dla aplikacji, wybierz przycisk ... actions (Akcje... ) i wybierz pozycję Aktualizuj powiązanie.

  3. Wybierz nowy certyfikat i wybierz pozycję Aktualizuj.

  4. Usuń istniejący certyfikat.

Odnawianie certyfikatu zaimportowanego z usługi Key Vault

Uwaga

Aby odnowić certyfikat usługi App Service, zobacz Odnawianie certyfikatu usługi App Service.

Aby odnowić certyfikat zaimportowany do usługi App Service z usługi Key Vault, zapoznaj się z artykułem Odnawianie certyfikatu usługi Azure Key Vault.

Po odnowieniu certyfikatu w magazynie kluczy usługa App Service automatycznie synchronizuje nowy certyfikat i aktualizuje wszelkie odpowiednie powiązania certyfikatu w ciągu 24 godzin. Aby przeprowadzić synchronizację ręcznie, wykonaj następujące kroki:

  1. Przejdź do strony Certyfikat aplikacji.

  2. W obszarze Bring your own certificates (PFX) wybierz przycisk ... details (Szczegóły) dla zaimportowanego certyfikatu magazynu kluczy, a następnie wybierz pozycję Synchronizuj.

Często zadawane pytania

Jak zautomatyzować dodawanie własnego certyfikatu do aplikacji?

Czy mogę skonfigurować certyfikat prywatnego urzędu certyfikacji w mojej aplikacji?

Usługa App Service zawiera listę zaufanych certyfikatów głównych, których nie można modyfikować w wersji wielodostępnej usługi App Service, ale możesz załadować własny certyfikat urzędu certyfikacji w zaufanym magazynie głównym w środowisku App Service Environment (ASE), który jest środowiskiem z jedną dzierżawą w usłudze App Service. (Plany usługi App Service w warstwie Bezpłatna, Podstawowa, Standardowa i Premium są wielodostępne, a plany izolowane są jednodostępne).

Więcej zasobów