Udostępnij za pośrednictwem

Dodaj i zarządzaj certyfikatami TLS/SSL w usłudze Azure App Service

Certyfikaty zabezpieczeń cyfrowych można dodać do użycia w kodzie aplikacji lub w celu zabezpieczenia niestandardowych nazw systemu nazw domen (DNS) w usłudze Azure App Service. Usługa App Service oferuje wysoce skalowalną, samonastosową usługę hostingu internetowego. Certyfikaty są obecnie nazywane certyfikatami Tls (Transport Layer Security). Wcześniej były znane jako certyfikaty Secure Sockets Layer (SSL). Te certyfikaty prywatne lub publiczne ułatwiają zabezpieczanie połączeń internetowych. Certyfikaty szyfrują dane wysyłane między przeglądarką, witrynami internetowymi, które odwiedzasz, a serwerem witryny internetowej.

W poniższej tabeli wymieniono opcje dodawania certyfikatów w usłudze App Service.

Opcja Opis
Utwórz bezpłatny certyfikat zarządzany przez usługę App Service Prywatny certyfikat, który jest bezpłatny i łatwy w użyciu, jeśli chcesz zwiększyć bezpieczeństwo domeny niestandardowej w usłudze App Service.
Zaimportuj certyfikat usługi App Service Platforma Azure zarządza certyfikatem prywatnym. Łączy prostotę zautomatyzowanego zarządzania certyfikatami z elastycznością opcji odnawiania i eksportu.
Importowanie certyfikatu z usługi Azure Key Vault Przydatne, jeśli używasz usługi Key Vault do zarządzania certyfikatami PKCS12. Zobacz Private certificate requirements.
Prześlij prywatny certyfikat Jeśli masz już certyfikat prywatny od dostawcy innego niż Microsoft, możesz go przekazać. Zobacz Private certificate requirements.
Prześlij certyfikat publiczny Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można załadować je do kodu, jeśli są one potrzebne do uzyskiwania dostępu do zasobów zdalnych.

Wymagania wstępne

Wymagania dotyczące certyfikatu prywatnego

Bezpłatny certyfikat zarządzany przez usługę App Service i certyfikat usługi App Service już spełniają wymagania usługi App Service. Jeśli zdecydujesz się przesłać lub zaimportować prywatny certyfikat do App Service, twój certyfikat musi spełniać następujące wymagania:

  • Być eksportowane jako plik PFX chroniony hasłem.
  • Zawierają wszystkie certyfikaty pośrednie i certyfikat główny w łańcuchu certyfikatów.

Jeśli chcesz zabezpieczyć domenę niestandardową w powiązaniu tls, certyfikat musi spełniać następujące dodatkowe wymagania:

  • Zawiera rozszerzone użycie klucza na potrzeby uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1).
  • Być podpisany przez zaufany urząd certyfikacji.

Uwaga

Certyfikaty kryptografii krzywej eliptycznej (ECC) działają z usługą App Service po przekazaniu jako pliku PFX, ale obecnie nie można ich zaimportować z usługi Key Vault. Nie są one objęte tym artykułem. Aby uzyskać dokładne instrukcje dotyczące tworzenia certyfikatów ECC, skontaktuj się z urzędem certyfikacji.

Po dodaniu certyfikatu prywatnego do aplikacji certyfikat jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów, regionem i kombinacją systemu operacyjnego (OS) planu usługi App Service. Wewnętrznie jest nazywana przestrzenią internetową. Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej grupie zasobów, regionie i kombinacji systemu operacyjnego. Prywatne certyfikaty przekazane lub zaimportowane do usługi App Service są współużytkowane z usługami aplikacyjnymi w tej samej jednostce wdrażania.

Możesz dodać maksymalnie 1000 prywatnych certyfikatów na przestrzeń internetową.

Utwórz bezpłatny zarządzany certyfikat

Bezpłatny certyfikat zarządzany usługi App Service to kompleksowe rozwiązanie ułatwiające zabezpieczenie dowolnej nazwy DNS w usłudze App Service. Usługa App Service zarządza tym certyfikatem serwera TLS/SSL bez żadnej akcji od Ciebie.

Przed utworzeniem bezpłatnego certyfikatu zarządzanego upewnij się, że spełniasz wymagania wstępne aplikacji.

Firma DigiCert wystawia bezpłatne certyfikaty. W przypadku niektórych domen należy jawnie zezwolić firmie DigiCert na wystawcę certyfikatów przez utworzenie rekordu domeny urzędu certyfikacji (CAA) z wartością 0 issue digicert.com.

Platforma Azure w pełni zarządza certyfikatami, więc każdy aspekt certyfikatu zarządzanego, w tym wystawca główny, może ulec zmianie w dowolnym momencie. Odnowienia certyfikatów zmieniają zarówno części klucza publicznego, jak i prywatnego. Wszystkie te zmiany certyfikatu są poza kontrolą. Pamiętaj, aby uniknąć twardych zależności i przypinania certyfikatów praktyk do zarządzanego certyfikatu lub dowolnej części hierarchii certyfikatów. Jeśli potrzebujesz funkcji przypinania certyfikatu, dodaj certyfikat do domeny niestandardowej, używając innej dostępnej metody w tym artykule.

Bezpłatny certyfikat ma następujące ograniczenia:

  • Nie obsługuje certyfikatów z symbolami wieloznacznymi.
  • Nie obsługuje użycia jako certyfikatu klienta z wykorzystaniem odcisków palca certyfikatów, które przewidziano do wycofania i usunięcia.
  • Nie obsługuje prywatnego systemu DNS.
  • Nie można eksportować.
  • Nie jest obsługiwana w środowisku App Service Environment.
  • Obsługuje tylko znaki alfanumeryczne, kreski (-) i kropki (.).
  • Obsługuje domeny niestandardowe o długości do 64 znaków.
  • Musisz mieć rekord A wskazujący na adres IP Twojej aplikacji internetowej.
  • Musi być w aplikacjach, które są publicznie dostępne.
  • Nie jest obsługiwana w przypadku domen głównych zintegrowanych z usługą Azure Traffic Manager.
  • Musi spełniać wszystkie powyższe kryteria dotyczące pomyślnego wystawiania i odnawiania certyfikatów.

  1. W witrynie Azure Portal w okienku po lewej stronie wybierz pozycję><.

  2. W lewym okienku aplikacji wybierz pozycję Certyfikaty. W okienku Zarządzane certyfikaty wybierz pozycję Dodaj certyfikat.

    Zrzut ekranu przedstawiający okienko aplikacji z wybraną pozycją Certyfikaty, Zarządzane certyfikaty i Dodaj certyfikat.

  3. Wybierz własną domenę dla darmowego certyfikatu, a następnie wybierz Weryfikuj. Po zakończeniu walidacji wybierz pozycję Dodaj. Można utworzyć tylko jeden zarządzany certyfikat dla każdej obsługiwanej niestandardowej domeny.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Zarządzane certyfikaty .

    Zrzut ekranu przedstawiający okienko Zarządzane certyfikaty z wyświetlonym nowym certyfikatem.

  4. Aby zapewnić bezpieczeństwo domeny niestandardowej przy użyciu tego certyfikatu, należy utworzyć powiązanie certyfikatu. Przejdź przez kroki opisane w Zabezpiecz niestandardową nazwę DNS z użyciem powiązania TLS/SSL w Azure App Service.

Zaimportuj certyfikat usługi App Service

Aby zaimportować certyfikat usługi App Service, najpierw kup i skonfiguruj certyfikat usługi App Service, a następnie postępuj zgodnie z tymi krokami.

  1. W witrynie Azure Portal w okienku po lewej stronie wybierz pozycję><.

  2. W okienku po lewej stronie aplikacji wybierz pozycję Certyfikaty>Importuj własne certyfikaty (.pfx)>Dodaj certyfikat.

  3. W obszarze Źródło wybierz pozycję Importuj certyfikat usługi App Service.

  4. W obszarze Certyfikat usługi App Service wybierz utworzony certyfikat.

  5. W obszarze Przyjazna nazwa certyfikatu nadaj certyfikatowi nazwę w aplikacji.

  6. Wybierz Potwierdź. Gdy walidacja zakończona jest pomyślnie, wybierz Dodaj.

    Zrzut ekranu przedstawiający stronę zarządzania aplikacjami, na której wybrano Certyfikaty, Bring your own certificates (.pfx) i Import App Service certificate (Importuj certyfikat usługi App Service). W okienku Dodawanie certyfikatu klucza prywatnego widoczna jest opcja Weryfikuj.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (pfx).

    Zrzut ekranu przedstawiający okienko Bring your own certificates (pfx) z wyświetlonym zakupionym certyfikatem.

  7. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, należy utworzyć powiązanie certyfikatu. Przejdź przez kroki opisane w Zabezpiecz niestandardową nazwę DNS z użyciem powiązania TLS/SSL w Azure App Service.

Importowanie certyfikatu z usługi Key Vault

Jeśli używasz usługi Key Vault do zarządzania certyfikatami, możesz zaimportować certyfikat PKCS12 do usługi App Service z usługi Key Vault, jeśli spełniasz wymagania.

Autoryzuj usługę App Service do odczytu z sejfu

Domyślnie dostawca zasobów App Service nie ma dostępu do Twojego magazynu kluczy. Aby użyć skarbca kluczy do wdrożenia certyfikatu, należy zezwolić na dostęp do odczytu dla dostawcy zasobów (App Service) do skarbca kluczy. Dostęp można udzielić za pomocą zasad dostępu lub kontroli dostępu opartej na rolach (RBAC).

Dostawca zasobów Identyfikator aplikacji głównej usługi / obiekt przypisania Rola RBAC usługi „Key Vault”
Azure App Service lub Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd dla usług Azure Cloud Services

- 6a02c803-dafd-4136-b4c3-5a6f318b4714 dla usług chmurowych Azure dla administracji rządowej		 Użytkownik Certyfikatu

Identyfikator aplikacji zasadniczej usługi lub wartość przypisanego użytkownika jest identyfikatorem dostawcy zasobów usługi App Service. Gdy dostęp jest udzielany przy użyciu kontroli dostępu opartej na rolach, odpowiedni identyfikator obiektu jednostki usługi jest specyficzny dla dzierżawy. Aby dowiedzieć się, jak autoryzować uprawnienia usługi Key Vault dla dostawcy zasobów usługi App Service przy użyciu zasad dostępu, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault przy użyciu kontroli dostępu opartej na rolach platformy Azure.

az role assignment create --role "Key Vault Certificate User" --assignee "abfa0a7c-a6b6-4736-8310-5855508787cd" --scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"

Importuj certyfikat z magazynu do swojej aplikacji

  1. W witrynie Azure Portal w okienku po lewej stronie wybierz pozycję><.

  2. W okienku po lewej stronie aplikacji wybierz pozycję Certyfikaty>Importuj własne certyfikaty (.pfx)>Dodaj certyfikat.

  3. W obszarze Źródło wybierz pozycję Importuj z usługi Key Vault.

  4. Wybierz Certyfikat magazynu kluczy.

    Zrzut ekranu przedstawiający stronę zarządzania aplikacją z wybranymi opcjami: Certyfikaty, Wprowadź własne certyfikaty (.pfx) i Import z Key Vault.

  5. Aby pomóc Ci wybrać certyfikat, skorzystaj z poniższej tabeli:

    Ustawienie Opis
    Subskrypcja Subskrypcja skojarzona z magazynem kluczy.
    Key Vault Magazyn kluczy zawierający certyfikat, który chcesz zaimportować.
    Certyfikat Z tej listy wybierz certyfikat PKCS12, który znajduje się w skarbcu. Wszystkie certyfikaty PKCS12 w magazynie są wyświetlane z odciskami palca, ale nie wszystkie są obsługiwane w usłudze App Service.

  6. Po zakończeniu zaznaczania wybierz Wybierz>Weryfikuj, a następnie Dodaj.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (pfx). Jeśli import kończy się błędem, certyfikat nie spełnia wymagań dla App Service.

    Zrzut ekranu przedstawiający okienko Przynieś swoje certyfikaty (PFX) z wyświetlonym zaimportowanym certyfikatem.

    Jeśli zaktualizujesz certyfikat w usłudze Key Vault przy użyciu nowego certyfikatu, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

  7. Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, należy utworzyć powiązanie certyfikatu. Przejdź przez kroki opisane w Zabezpiecz niestandardową nazwę DNS z użyciem powiązania TLS/SSL w Azure App Service.

Prześlij prywatny certyfikat

Po uzyskaniu certyfikatu od dostawcy certyfikatów, przygotuj certyfikat do App Service, postępując zgodnie z krokami opisanymi w tej sekcji.

Scal certyfikaty pośrednie

Jeśli urząd certyfikacji daje wiele certyfikatów w łańcuchu certyfikatów, należy scalić certyfikaty, wykonując tę samą kolejność.

  1. W edytorze tekstu otwórz każdy otrzymany certyfikat.

  2. Aby przechować scalony certyfikat, utwórz plik o nazwie mergedcertificate.crt.

  3. Skopiuj treść każdego certyfikatu do tego pliku. Pamiętaj, aby postępować zgodnie z sekwencją certyfikatów określoną przez łańcuch certyfikatów. Zacznij od certyfikatu i na końcu z certyfikatem głównym, na przykład:

    -----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Eksportowanie scalonego certyfikatu prywatnego do formatu PFX

Teraz wyeksportuj scalony certyfikat TLS/SSL z kluczem prywatnym, który został użyty do wygenerowania żądania certyfikatu. Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, utworzono plik klucza prywatnego.

Protokół OpenSSL w wersji 3 zmienił domyślny szyfr z 3DES na AES256. Użyj wiersza -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 polecenia, aby zastąpić zmianę.

Protokół OpenSSL w wersji 1 używa formatu 3DES jako domyślnego, dlatego pliki pfx, które są generowane, są obsługiwane bez żadnych specjalnych modyfikacji.

  1. Aby wyeksportować certyfikat do pliku pfx, uruchom następujące polecenie. Zastąp symbole <zastępcze private-key-file> i <merged-certificate-file> ścieżkami do klucza prywatnego i scalonego pliku certyfikatu.

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

  2. Kiedy pojawi się monit, określ hasło dla operacji eksportu. Gdy później przesyłasz swój certyfikat TLS/SSL do usługi App Service, musisz podać to hasło.

  3. Jeśli użyto usług IIS lub Certreq.exe do wygenerowania żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.

Prześlij certyfikat do usługi App Service

Teraz możesz przekazać certyfikat do usługi App Service.

  1. W witrynie Azure Portal w okienku po lewej stronie wybierz pozycję><.

  2. W okienku po lewej stronie aplikacji wybierz Certyfikaty>Przynieś własne certyfikaty (.pfx)>Przekaż certyfikat (.pfx).

    Zrzut ekranu przedstawiający stronę zarządzania aplikacjami z wybranymi opcjami: Certyfikaty, Własne certyfikaty (.pfx), oraz Przekaż certyfikat (.pfx).

  3. Aby pomóc w przesłaniu certyfikatu .pfx, użyj poniższej tabeli:

    Ustawienie Opis
    Plik certyfikatu PFX Wybierz swój plik .pfx.
    Hasło certyfikatu Wprowadź hasło utworzone podczas eksportowania pliku pfx.
    Przyjazna nazwa certyfikatu Nazwa certyfikatu wyświetlana w aplikacji internetowej.

  4. Po zakończeniu zaznaczania wybierz Wybierz>Weryfikuj, a następnie Dodaj.

    Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (pfx).

    Zrzut ekranu przedstawiający okienko Bring your own certificates z wyświetlonym przekazanym certyfikatem.

  5. Aby zapewnić bezpieczeństwo domeny niestandardowej przy użyciu tego certyfikatu, należy utworzyć powiązanie certyfikatu. Przejdź przez kroki opisane w Zabezpiecz niestandardową nazwę DNS z użyciem powiązania TLS/SSL w Azure App Service.

Prześlij certyfikat publiczny

Publiczne certyfikaty są obsługiwane w formacie .cer.

Po przekazaniu certyfikatu publicznego do aplikacji będzie on dostępny tylko przez aplikację, do której został przekazany. Publiczne certyfikaty muszą zostać przesłane do każdej pojedynczej aplikacji internetowej, która wymaga dostępu. W przypadku scenariuszy specyficznych dla środowiska App Service Environment zapoznaj się z dokumentacją dotyczącą certyfikatów i środowiska App Service Environment.

Możesz przekazać do 1000 certyfikatów publicznych w ramach planu App Service.

  1. W witrynie Azure Portal w okienku po lewej stronie wybierz pozycję><.

  2. W okienku po lewej stronie aplikacji wybierz pozycję Certyfikaty>Certyfikaty klucza publicznego (.cer)>Dodaj certyfikat.

  3. Aby pomóc Ci przesłać certyfikat .cer, skorzystaj z poniższej tabeli.

    Ustawienie Opis
    plik certyfikatu .cer Wybierz swój plik .cer.
    Przyjazna nazwa certyfikatu Nazwa certyfikatu wyświetlana w aplikacji internetowej.

  4. Po zakończeniu wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający stronę zarządzania aplikacjami. Wyświetla certyfikat klucza publicznego do przekazania i jego nazwę.

  5. Po przekazaniu certyfikatu skopiuj odcisk palca certyfikatu, a następnie przejrzyj pozycję Udostępnij certyfikat.

Odnów wygasający certyfikat

Przed wygaśnięciem certyfikatu upewnij się, że dodano odnowiony certyfikat do usługi App Service. Zaktualizuj wszystkie powiązania certyfikatów, w których proces zależy od typu certyfikatu. Na przykład, certyfikat zaimportowany z Key Vault, w tym certyfikat usługi aplikacji, automatycznie synchronizuje się z usługą aplikacji co 24 godziny i aktualizuje powiązanie TLS/SSL, gdy odnawiasz certyfikat.

W przypadku załadowanego certyfikatu nie ma automatycznej aktualizacji powiązania. Na podstawie twojego scenariusza, przejrzyj odpowiednią sekcję.

Odnów przesłany certyfikat

Po zastąpieniu wygasającego certyfikatu sposób aktualizowania powiązania certyfikatu nowym certyfikatem może negatywnie wpłynąć na środowisko użytkownika. Na przykład adres IP dla ruchu przychodzącego może ulec zmianie po usunięciu powiązania, nawet jeśli to powiązanie jest oparte na adresie IP. Ten wynik jest szczególnie skuteczny przy odnawianiu certyfikatu, który jest już związany z IP.

Aby uniknąć zmiany adresu IP aplikacji i uniknąć przestoju aplikacji z powodu błędów protokołu HTTPS, wykonaj następujące kroki:

  1. Przekaż nowy certyfikat.

  2. Przejdź na stronę Własne domeny dla swojej aplikacji, wybierz przycisk ..., a następnie wybierz Aktualizuj powiązanie.

  3. Wybierz nowy certyfikat, a następnie wybierz pozycję Aktualizuj.

  4. Usuń istniejący certyfikat.

Odnawianie certyfikatu zaimportowanego z usługi Key Vault

Aby odnowić certyfikat usługi aplikacji, zobacz Odnowienie certyfikatu usługi aplikacji.

Aby odnowić certyfikat zaimportowany do usługi App Service z usługi Key Vault, zobacz Odnawianie certyfikatu usługi Azure Key Vault.

Po odnowieniu certyfikatu w twoim skarbcu kluczy, usługa App Service automatycznie synchronizuje nowy certyfikat i aktualizuje wszelkie powiązania certyfikatów w ciągu 24 godzin. Aby zsynchronizować ręcznie, wykonaj następujące kroki:

  1. Przejdź do strony Certyfikat w swojej aplikacji.

  2. Pod Bring your own certificates (.pfx) wybierz przycisk ... dla zaimportowanego certyfikatu z magazynu kluczy, a następnie wybierz Sync.

Najczęściej zadawane pytania

Jak zautomatyzować proces dodawania własnego certyfikatu do aplikacji?

Czy mogę użyć prywatnego certyfikatu urzędu certyfikacji dla przychodzącego protokołu TLS w mojej aplikacji?

Możesz użyć prywatnego certyfikatu urzędu certyfikacji dla przychodzącego protokołu TLS w środowisku App Service Environment w wersji 3. Ta akcja nie jest możliwa w usłudze App Service (wielodostępna). Aby uzyskać więcej informacji na temat porównania między wielodostępnym a pojedynczym dzierżawcą w usłudze App Service, zobacz Porównanie publicznego środowiska wielodostępnego App Service Environment v3 i usługi App Service.

Czy mogę z mojej aplikacji wykonywać połączenia wychodzące przy użyciu prywatnego certyfikatu urzędu certyfikacji?

Ta funkcja jest obsługiwana tylko w przypadku aplikacji kontenerowych systemu Windows w wielodostępnym środowisku usługi App Service. Można wykonywać połączenia wychodzące, używając certyfikatu klienta z prywatnego urzędu certyfikacji, z aplikacjami opartymi na kodzie i aplikacjami opartymi na kontenerach w środowisku App Service Environment w wersji 3. Aby uzyskać więcej informacji na temat porównania między wielodostępnym a pojedynczym dzierżawcą w usłudze App Service, zobacz Porównanie publicznego środowiska wielodostępnego App Service Environment v3 i usługi App Service.

Czy mogę załadować certyfikat prywatnego urzędu certyfikacji do głównego magazynu certyfikatów zaufanych usługi App Service?

Możesz załadować własny certyfikat urzędu certyfikacji do zaufanego magazynu głównego w środowisku App Service Environment w wersji 3. Nie można zmodyfikować listy zaufanych certyfikatów głównych w usłudze App Service (wielodostępnej). Aby uzyskać więcej informacji na temat porównania między wielodostępnym a pojedynczym dzierżawcą w usłudze App Service, zobacz Porównanie publicznego środowiska wielodostępnego App Service Environment v3 i usługi App Service.

Czy można używać certyfikatów usługi App Service dla innych usług?

Tak. Certyfikaty usługi App Service można eksportować i używać z usługą Azure Application Gateway lub innymi usługami. Aby uzyskać więcej informacji, zobacz artykuł w blogu Creating a local PFX copy of App Service Certificate (Tworzenie lokalnej kopii certyfikatu PFX usługi App Service).

Treści powiązane