Создание сертификата Служба приложений для веб-приложения и управление ими

В этой статье показано, как создать сертификат Служба приложений и управлять им (например, продление, синхронизация и удаление). После получения сертификата Служба приложений его можно импортировать в приложение Служба приложений. Сертификат Служба приложений — это частный сертификат, управляемый Azure. Он сочетает простоту автоматического управления сертификатами и гибкость возможностей продления и экспорта.

Если вы приобрели сертификат Службы приложений из Azure, то Azure управляет следующими задачами:

• осуществляет процесс покупки на GoDaddy;
• выполняет проверку домена сертификата;
• хранит сертификат в Azure Key Vault;
• управляет обновлением сертификата;
• автоматически синхронизирует сертификат с импортированными копиями в приложениях Службы приложений.

Примечание.

После отправки сертификата в приложение он хранится в единице развертывания, которая привязана к сочетанию группы ресурсов, региона и операционной системы плана службы приложений, внутреннее название — веб-пространство. Таким образом, сертификат будет доступен для других приложений в том же сочетании группы ресурсов и региона. Сертификаты, отправленные или импортированные в Служба приложений, совместно используются Служба приложений в одной единице развертывания.

Необходимые компоненты

• Создайте приложение службы приложений. План Служба приложений приложения должен находиться на уровне "Базовый", "Стандартный", "Премиум" или "Изолированный". Сведения об изменении уровня см. в разделе Увеличение масштаба приложения.

Примечание.

Сейчас сертификаты "Службы приложений" не поддерживаются в национальных облаках Azure.

Приобретение и настройка сертификата Служба приложений

Порядок работы с сертификатом

1. Перейдите на страницу создания Сертификата службы приложений и запустите покупку Сертификата службы приложений.

   Примечание.

   Сертификаты службы приложений, приобретенные в Azure, выдаются GoDaddy. Для некоторых доменов необходимо явно разрешить GoDaddy как издателя сертификата, создав запись домена CAA со значением 0 issue godaddy.com.

   

2. Чтобы выполнить настройку сертификата, воспользуйтесь сведениями из следующей таблицы. После завершения нажмите кнопку "Проверить и создать", а затем нажмите кнопку "Создать".

   Параметр	Description
   Подписка	Подписка Azure, связанная с сертификатом.
   Группа ресурсов	Группа ресурсов, которая будет содержать сертификат. Например, можно создать новую группу ресурсов или выбрать ту же группу ресурсов, что и для приложения Службы приложений.
   SKU	Определяет тип создаваемого сертификата независимо от того, является ли сертификат стандартным или групповым.
   Имя узла голого домена	Укажите корневой домен. Выданный сертификат защищает оба домена: корневой домен и поддомен www. В выданном сертификате поле Common Name (Общее имя) указывает корневой домен, а поле Subject Alternative Name (Альтернативное имя субъекта) — домен www. Чтобы защитить только поддомен, укажите здесь полное доменное имя вместе с поддоменом, например, mysubdomain.contoso.com.
   Имя сертификата	Понятное имя сертификата Службы приложений.
   Включение автоматического продления	Выберите, следует ли автоматически обновлять сертификат до истечения срока его действия. Срок действия сертификата каждый раз продляется на один год, а плата взимается из вашей подписки.

3. По завершении развертывания выберите элемент Перейти к ресурсу.

Сохранение сертификата в Azure Key Vault

Key Vault — это служба Azure, которая помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Для сертификатов Службы приложений предпочтительным хранилищем является Key Vault. Завершив процесс покупки сертификата, перед началом использования этого сертификата необходимо выполнить несколько действий.

1. На странице Сертификаты службы приложений выберите сертификат. В меню сертификата выберите Конфигурация сертификата>Шаг 1. Сохранение.

   

2. На странице "Состояние Key Vault" выберите "Выбрать из Key Vault".

3. Если вы создаете новое хранилище, настройте хранилище на основе следующей таблицы и обязательно используйте ту же подписку и группу ресурсов, что и приложение Служба приложений.

   Параметр	Description
   Группа ресурсов	Рекомендуется выбирать группу ресурсов, идентичную сертификату Службы приложений.
   Имя хранилища ключей	Уникальное имя, использующее только буквы, цифры и дефисы.
   Регион	В том же расположении, что и ваше приложение Службы приложений.
   Ценовая категория	Дополнительные сведения см. в статье Цены на Key Vault .
   Дни хранения удаленных хранилищ	Количество дней после удаления, в которых объекты остаются восстанавливаемыми (см . обзор обратимого удаления Azure Key Vault). Задайте значение от 7 до 90.
   Защита от очистки	Предотвращает удаление обратимых объектов st-объектов вручную. Включение этого параметра заставляет все удаленные объекты оставаться в состоянии обратимо удаленных в течение всего периода хранения.

4. Нажмите кнопку "Далее" и выберите "Политика доступа к Хранилищу". В настоящее время Служба приложений сертификаты поддерживают только политики доступа Key Vault, а не модель RBAC.

5. Выберите Проверить и создать, а затем выберите Создать.

6. После создания хранилища ключей не нажимайте кнопку "Перейти к ресурсу ", а дождитесь перезагрузки хранилища ключей select из страницы Azure Key Vault.

7. Выберите Выбрать.

8. После выбора хранилища закройте страницу Репозиторий Key Vault. Параметр Шаг 1. Сохранение должен быть отмечен зеленой галочкой, что указывает на успешное выполнение. На протяжении выполнения следующего шага данная страница должна быть открыта.

Подтверждение владения доменом

1. На той же странице Конфигурация сертификата в предыдущем разделе выберите Шаг 2. Проверка.

   

2. Выберите Проверка службы приложений. Так как вы ранее сопоставили домен со своим веб-приложением в соответствии с Предварительными условиями, то домен уже проверен. Чтобы завершить этот шаг, просто выберите Проверить, а затем — Обновить, пока не появится сообщение Сертификат домена проверен.

Поддерживаются следующие методы проверки домена:

Метод	Description
Проверка службы приложений	Наиболее удобный вариант, когда домен уже сопоставлен с приложением Службы приложений в той же подписке, так как приложение Службы приложений уже подтвердило право собственности на домен. Просмотрите последний шаг в разделе Подтверждение владения доменом.
Проверка домена	Подтвердите домен Службы приложений, который вы приобрели в Azure. Azure автоматически добавляет проверочную запись типа TXT и завершает процесс.
Проверка почты	Подтвердите домен, отправив электронное письмо администратору домена. После выбора данного параметра будут предоставлены инструкции.
Проверка вручную	Подтвердите домен с помощью записи DNS типа TXT или HTML-страницы, что применимо только к сертификатам уровня Стандартный, как указано в следующем примечании. Шаги предоставляются после выбора параметра. Параметр HTML-страницы не работает для веб-приложений с включенным параметром "Только HTTPS". Для проверки домена с помощью записи DNS TXT для любого корневого домена (т. е. "contoso.com") или поддомен (т. е. "www.contoso.com", "test.api.contoso.com") и независимо от номера SKU сертификата необходимо добавить запись TXT на корневом уровне домена с помощью "@" для имени и маркера проверки домена для значения в записи DNS.

Внимание

При использовании стандартного сертификата вы получаете сертификат для запрошенного домена верхнего уровня и www поддомена, например.www.contoso.comcontoso.com Однако Служба приложений проверки и ручной проверки используют проверку HTML-страницы, которая не поддерживает www поддомен при выдаче, повторном ключе или продлении сертификата. Для стандартного сертификата используйте проверку домена и проверку почты, чтобы включить www поддомен с запрошенным доменом верхнего уровня в сертификат.

После проверки домена сертификат будет готов импортировать его в приложение Служба приложений.

Продление сертификата Службы приложений

По умолчанию сертификаты Службы приложений имеют срок действия в один год. До истечения срока действия или ближе к нему можно автоматически или вручную продлевать сертификаты Службы приложений с шагом в один год. Процесс обновления фактически дает вам новый сертификат Службы приложений с продленным сроком действия до одного года с даты истечения срока действия существующего сертификата.

Примечание.

Начиная с 23 сентября 2021 г., если вы не проверяли домен в течение последних 395 дней, для сертификатов Службы приложений требуется проверка домена во время процесса возобновления действия или смены ключа. Новый заказ сертификата остается в режиме "ожидания выдачи" во время процесса возобновления действия или переназначения ключа, пока вы не завершите проверку домена.

В отличие от бесплатного Служба приложений управляемого сертификата, проверка домена для сертификатов Служба приложений не автоматизирована. Сбой проверки владения доменом приводит к сбою возобновления действия. Дополнительные сведения о проверке сертификата Служба приложений см. в разделе Подтверждение владения доменом.

Для процесса возобновления действия требуется, чтобы у известного субъекта-службы для Службы приложений были необходимые разрешения для вашего хранилища ключей. Эти разрешения настраиваются при импорте сертификата Службы приложений через портал Azure. Убедитесь, что эти разрешения не удаляются из хранилища ключей.

1. Чтобы изменить параметр автоматического возобновления действия для сертификата Служба приложений в любое время, на странице Сертификаты Службы приложений выберите сертификат.

2. В меню слева выберите параметры автоматического обновления.

3. Выберите Вкл. или Выкл. и нажмите кнопку Сохранить.

   Если автоматическое обновление включено, сертификаты начнут автоматически обновляться за 32 дня до истечения их срока действия.

   

4. Чтобы обновить сертификат вручную, щелкните Обновление вручную. Вы можете запросить, чтобы вручную продлить сертификат 60 дней до истечения срока действия, но максимальная дата окончания срока действия будет 397 дней.

5. После завершения операции продления нажмите кнопку Синхронизировать.

   Операция синхронизации автоматически обновляет привязки имен узлов для сертификата в Службе приложений, не вызывая простоя в работе ваших приложений.

   Примечание.

   Если вы не выберете Синхронизировать, Служба приложений автоматически синхронизирует ваш сертификат в течение 24 часов.

Повторное и Служба приложений сертификат

Если вы считаете, что закрытый ключ сертификата скомпрометирован, то вы можете переназначить его ключ. Это действие заменяет сертификат новым сертификатом, выданным центром сертификации.

1. На странице Сертификаты службы приложений выберите сертификат. В меню слева выберите Переназначение ключа и синхронизация.

2. Чтобы запустить процесс, нажмите кнопку Переназначить ключ. Этот процесс может занять от 1 до 10 минут.

   

3. Возможно, вам также потребуется повторно подтвердить владение доменом.

4. После завершения операции переназначения ключа нажмите кнопку Синхронизировать.

   Операция синхронизации автоматически обновляет привязки имен узлов для сертификата в Службе приложений, не вызывая простоя в работе ваших приложений.

   Примечание.

   Если вы не выберете Синхронизировать, Служба приложений автоматически синхронизирует ваш сертификат в течение 24 часов.

Экспорт сертификата Службы приложений

Поскольку сертификат Службы приложений является секретом Key Vault, вы можете экспортировать копию в виде PFX-файла, который можно использовать для других служб Azure или за пределами Azure.

Внимание

Экспортированный сертификат является неуправляемым артефактом. Служба приложений не синхронизирует такие артефакты при обновлении Сертификатов службы приложений. При необходимости вы должны экспортировать и установить обновленный сертификат.

Портал Azure

1. На странице Сертификаты службы приложений выберите сертификат.

2. В меню слева выберите пунктЭкспорт сертификата.

3. Выберите "Открыть секрет Key Vault".

4. Выберите текущую версию сертификата.

5. Выберите Скачать как сертификат.

Azure CLI

Выполните следующие команды в Azure Cloud Shell или запустите их локально, если вы установили Azure CLI. Замените заполнители именами, которые использовались при приобретении сертификата Службы приложений.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Скачанный PFX-файл — это необработанный файл PKCS12, содержащий как общедоступные, так и частные сертификаты, а пароль импорта — пустая строка. Можно установить файл локально, оставив поле пароля пустым. Невозможно передать файл как есть в Службу приложений, так как файл не защищен паролем.

Удаление сертификата Службы приложений

При удалении сертификата Служба приложений операция удаления является необратимой и окончательной. Результатом является отозванный сертификат, и любая привязка в Службе приложений, использующая этот сертификат, становится недействительной.

1. На странице Сертификаты службы приложений выберите сертификат.

2. В меню слева выберите Обзор>Удалить.

3. Когда откроется окно подтверждения, введите имя сертификата и нажмите ОК.

Часто задаваемые вопросы

У моего сертификата Служба приложений нет никакого значения в Key Vault

Ваш Служба приложений сертификат, скорее всего, еще не проверен доменом. Пока не будет подтверждено владение доменом, ваш сертификат Служба приложений не готов к использованию. В качестве секрета хранилища ключей он сохраняет Initialize тег, а его значение и тип контента остаются пустыми. При подтверждении владения доменом секрет хранилища ключей показывает значение и тип контента, а тег изменяется Ready.

Не удается экспортировать сертификат Служба приложений с помощью PowerShell

Ваш Служба приложений сертификат, скорее всего, еще не проверен доменом. Пока не будет подтверждено владение доменом, ваш сертификат Служба приложений не готов к использованию.

Какие изменения вносятся в процесс создания сертификата Служба приложений в существующее хранилище ключей?

Процесс создания вносит следующие изменения:

• Добавляет две политики доступа в хранилище:
  • Microsoft.Azure.WebSites (или Microsoft Azure App Service)
  • Поставщик ресурсов CSM для торгового посредника сертификатов Майкрософт (или Microsoft.Azure.CertificateRegistration)
• Создает блокировку удаления в вызываемом хранилище: AppServiceCertificateLock чтобы предотвратить случайное удаление хранилища ключей.

Дополнительные ресурсы

• Защита пользовательского доменного имени с помощью привязки TLS/SSL в Службе приложений Azure
• Принудительное использование HTTPS
• Принудительное применение TLS 1.1/1.2
• Использование TLS/SSL-сертификата в коде в Службе приложений Azure
• FAQ : App Service Certificates (Вопросы по сертификатам службы приложений и ответы на них)