Skapa och hantera ett App Service-certifikat för din webbapp

Den här artikeln visar hur du skapar ett App Service-certifikat och utför hanteringsuppgifter som att förnya, synkronisera och ta bort certifikat. När du har ett App Service-certifikat kan du importera det till en App Service-app. Ett App Service-certifikat är ett privat certifikat som hanteras av Azure. Den kombinerar enkelheten i automatiserad certifikathantering och flexibiliteten med förnyelse- och exportalternativ.

Om du köper ett App Service-certifikat från Azure hanterar Azure följande uppgifter:

• Hanterar inköpsprocessen från GoDaddy.
• Utför domänverifiering av certifikatet.
• Underhåller certifikatet i Azure Key Vault.
• Hanterar certifikatförnyelse.
• Synkroniserar certifikatet automatiskt med de importerade kopiorna i App Service-appar.

Kommentar

När du har laddat upp ett certifikat till en app lagras certifikatet i en distributionsenhet som är bunden till App Service-planens kombination av resursgrupp, region och operativsystem, internt kallad en webbrymd. På så sätt är certifikatet tillgängligt för andra appar i samma resursgrupp och regionkombination. Certifikat som laddats upp eller importerats till App Service delas med App Services i samma distributionsenhet.

Förutsättningar

• Skapa en App Service-app. Appens App Service-plan måste vara på nivån Basic, Standard, Premium eller Isolerad. Se Skala upp en app för att uppdatera nivån.

Kommentar

App Service-certifikat stöds för närvarande inte i nationella Azure-moln.

Köpa och konfigurera ett App Service-certifikat

Köp certifikatet

1. Gå till sidan Skapa App Service-certifikat för att starta köpet.

   Kommentar

   App Service-certifikat som köpts från Azure utfärdas av GoDaddy. För vissa domäner måste du uttryckligen tillåta GoDaddy som certifikatutfärdare genom att skapa en CAA-domänpost med värdet 0 issue godaddy.com.

   

2. Använd följande tabell för att konfigurera certifikatet. När du är klar väljer du Granska + Skapa och sedan Skapa.

   Inställning	beskrivning
   Abonnemang	Azure-prenumerationen som ska associeras med certifikatet.
   Resursgrupp	Den resursgrupp som ska innehålla certifikatet. Du kan antingen skapa en ny resursgrupp eller välja samma resursgrupp som din App Service-app.
   SKU	Avgör vilken typ av certifikat som ska skapas, antingen ett standardcertifikat eller ett jokerteckencertifikat.
   Värdnamn för naken domän	Ange rotdomänen. Det utfärdade certifikatet ger säkerhet för både rotdomänen och underdomänen www . I det utfärdade certifikatet anger fältet Eget namn rotdomänen och fältet Alternativt namn för certifikatmottagare anger domänen www . Om du bara vill ge säkerhet för en underdomän anger du det fullständigt kvalificerade domännamnet för underdomänen, mysubdomain.contoso.comtill exempel .
   Certifikatnamn	Det egna namnet på ditt App Service-certifikat.
   Aktivera automatisk förnyelse	Välj om certifikatet ska förnyas automatiskt innan det upphör att gälla. Varje förnyelse förlänger certifikatets giltighetstid med ett år. Kostnaden debiteras för din prenumeration.

3. När distributionen är klar väljer du Gå till resurs.

Lagra certifikatet i Azure Key Vault

Key Vault är en Azure-tjänst som hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och tjänster. För App Service-certifikat rekommenderar vi att du använder Key Vault. När du har slutfört certifikatinköpsprocessen måste du slutföra några fler steg innan du börjar använda certifikatet.

1. På sidan App Service-certifikat väljer du certifikatet. På certifikatmenyn väljer du Certifikatkonfiguration>Steg 1: Lagra.

   

2. På sidan Key Vault-status väljer du Välj från Key Vault.

3. Om du skapar ett nytt valv konfigurerar du valvet baserat på följande tabell och ser till att använda samma prenumeration och resursgrupp som din App Service-app.

   Inställning	beskrivning
   Resursgrupp	Rekommenderas: Samma resursgrupp som ditt App Service-certifikat.
   Namn på nyckelvalv	Ett unikt namn som endast använder alfanumeriska tecken och bindestreck.
   Region	Samma plats som din App Service-app.
   Prisnivå	Mer information finns i Prisinformation för Azure Key Vault.
   Dagar för att behålla borttagna valv	Antalet dagar efter borttagningen som objekten fortfarande kan återställas. (Se Översikt över mjuk borttagning av Azure Key Vault.) Ange ett värde mellan 7 och 90.
   Rensa skydd	Om du aktiverar det här alternativet måste alla borttagna objekt förbli i mjukt borttaget tillstånd under hela kvarhållningsperioden.

4. Välj Nästa och välj sedan Åtkomstprincip för valv. För närvarande stöder App Service-certifikat endast Åtkomstprinciper för Key Vault, inte RBAC-modellen.

5. Välj Granska + skapa och välj sedan Skapa.

6. När nyckelvalvet har skapats väljer du inte Gå till resurs. Vänta tills sidan Välj nyckelvalv från Azure Key Vault har lästs in igen.

7. Välj Välj.

8. När du har valt valvet stänger du sidan Key Vault-lagringsplats . Alternativet Steg 1: Store bör visa en grön bockmarkering för att indikera att den har lyckats. Håll sidan öppen för nästa steg.

Bekräfta domänägarskap

1. På samma sida för certifikatkonfiguration som i föregående avsnitt väljer du Steg 2: Verifiera.

   

2. Välj App Service-verifiering. Eftersom du mappade domänen till webbappen tidigare i det här avsnittet är domänen redan verifierad. Slutför det här steget genom att välja Verifiera och sedan uppdatera tills meddelandet Certifikat är Domänverifierat visas.

Följande metoder för domänverifiering stöds:

Metod	beskrivning
App Service-verifiering	Det enklaste alternativet när domänen redan är mappad till en App Service-app i samma prenumeration eftersom App Service-appen redan har verifierat domänägarskapet. Granska det sista steget i Bekräfta domänägarskap.
Domänverifiering	Bekräfta en App Service-domän som du har köpt från Azure. Azure lägger automatiskt till verifierings-TXT-posten åt dig och slutför processen.
E-postverifiering	Bekräfta domänen genom att skicka ett e-postmeddelande till domänadministratören. Instruktioner ges när du väljer alternativet.
Manuell verifiering	Bekräfta domänen med hjälp av antingen en DNS TXT-post eller en HTML-sida. (Det senare gäller endast standardcertifikat. Se följande kommentar.) Stegen anges när du har valt alternativet. HTML-sidalternativet fungerar inte för webbappar med ENDAST HTTPS aktiverat. För domänverifiering via DNS TXT-post för antingen rotdomänen (till exempel contoso.com) eller underdomänen (till exempel www.contoso.com eller test.api.contoso.com) och oavsett certifikat-SKU:n måste du lägga till en TXT-post på rotdomännivå med hjälp av @ för namnet och domänverifieringstoken för värdet i DNS-posten.

Viktigt!

Med standardcertifikatet får du ett certifikat för den begärda toppnivådomänen och underdomänen www , contoso.com till exempel och www.contoso.com. App Service-verifiering och manuell verifiering använder dock båda HTML-sidverifieringen, som inte stöder underdomänen www när du utfärdar, nyckelar om eller förnyar ett certifikat. För standardcertifikatet använder du Domänverifiering och e-postverifiering för att inkludera underdomänen www med den begärda toppnivådomänen i certifikatet.

När certifikatet är domänverifierat är du redo att importera det till en App Service-app.

Förnya ett App Service-certifikat

Som standard har App Service-certifikat en giltighetstid på ett år. Innan förfallodatumet kan du automatiskt eller manuellt förnya App Service-certifikat i steg om ett år. Förnyelseprocessen ger dig ett nytt App Service-certifikat med förfallodatumet utökat till ett år från det befintliga certifikatets förfallodatum.

Kommentar

Från och med den 23 september 2021, om du inte har verifierat domänen under de senaste 395 dagarna, kräver App Service-certifikat domänverifiering under en förnyelse, automatisk förnyelse eller nyckelåterställningsprocess. Den nya certifikatordningen förblir i läget "väntande utfärdande" under förnyelse-, automatisk förnyelse- eller nyckelprocessen tills du har slutfört domänverifieringen.

Till skillnad från det kostnadsfria App Service-hanterade certifikatet har köpta App Service-certifikat inte automatisk domänverifiering. Det gick inte att verifiera domänägarskapet, vilket resulterar i misslyckade förnyelser. Mer information om hur du verifierar ditt App Service-certifikat finns i Bekräfta domänägarskap.

Förnyelseprocessen kräver att tjänstens huvudnamn för App Service har de behörigheter som krävs för ditt nyckelvalv. Dessa behörigheter konfigureras åt dig när du importerar ett App Service-certifikat via Azure Portal. Se till att du inte tar bort dessa behörigheter från nyckelvalvet.

1. Om du vill ändra inställningen för automatisk förnyelse för ditt App Service-certifikat när som helst väljer du certifikatet på sidan App Service-certifikat.

2. På den vänstra menyn väljer du Förnya inställningar automatiskt.

3. Välj På eller Av och välj sedan Spara.

   Om du aktiverar automatisk förnyelse kan certifikaten börja förnyas automatiskt 32 dagar innan de upphör att gälla.

   

4. Om du vill förnya certifikatet manuellt i stället väljer du Manuell förnyelse. Du kan begära att förnya certifikatet manuellt 60 dagar innan det upphör att gälla, men certifikat kan inte utfärdas längre än 397 dagar.

5. När förnyelseåtgärden är klar väljer du Synkronisera.

   Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

   Kommentar

   Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.

Ange ny nyckel för ett App Service-certifikat

Om du tror att certifikatets privata nyckel har komprometterats kan du uppdatera certifikatet. Den här åtgärden roterar certifikatet med ett nytt certifikat utfärdat från certifikatutfärdare.

1. På sidan App Service-certifikat väljer du certifikatet. Välj Nyckel och Synkronisera på den vänstra menyn.

2. Starta processen genom att välja Nyckel igen. Den här processen kan ta 1–10 minuter att slutföra.

   

3. Du kan också behöva bekräfta domänägarskapet igen.

4. När nyckelåtgärden har slutförts väljer du Synkronisera.

   Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

   Kommentar

   Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.

Exportera ett App Service-certifikat

Eftersom ett App Service-certifikat är en Key Vault-hemlighet kan du exportera en kopia som en PFX-fil som du kan använda för andra Azure-tjänster eller utanför Azure.

Viktigt!

Det exporterade certifikatet är en ohanterad artefakt. App Service synkroniserar inte sådana artefakter när App Service-certifikatet förnyas. Du måste exportera och installera det förnyade certifikatet vid behov.

Azure-portalen

1. På sidan App Service-certifikat väljer du certifikatet.

2. Välj Exportera certifikat på den vänstra menyn.

3. Välj Öppna Key Vault-hemlighet.

4. Välj certifikatets aktuella version.

5. Välj Ladda ned som ett certifikat.

Azure CLI

Kör följande kommandon i Azure Cloud Shell eller kör dem lokalt om du har installerat Azure CLI. Ersätt platshållarna med de namn som du använde när du köpte App Service-certifikatet.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Den nedladdade PFX-filen är en rå PKCS12-fil som innehåller både offentliga och privata certifikat och har ett importlösenord som är en tom sträng. Du kan installera filen lokalt genom att lämna lösenordsfältet tomt. Du kan inte ladda upp filen som den är till App Service eftersom filen inte är lösenordsskyddad.

Använda Azure Advisor för App Service-certifikat

App Service-certifikatet är integrerat med Azure Advisor för att ge tillförlitlighetsrekommendationer för när certifikatet kräver domänverifiering. Du måste verifiera domänägarskapet för certifikatet under förnyelse, automatisk förnyelse eller nyckelåterställning om du inte har verifierat domänen under de senaste 395 dagarna. För att säkerställa att du inte missar något certifikat som kräver verifiering eller riskerar att något certifikat upphör att gälla kan du använda Azure Advisor för att visa och konfigurera aviseringar för App Service-certifikat.

Visa Advisor-rekommendation

Så här visar du Advisor-rekommendation för App Service-certifikat:

1. Gå till sidan Azure Advisor.

2. På den vänstra menyn väljer du Rekommendationer>Tillförlitlighet

3. Välj filteralternativet Typ är lika med och sök efter App Service-certifikat i listrutan. Om värdet inte finns på den nedrullningsbara menyn innebär det att ingen rekommendation har genererats för dina App Service-certifikatresurser eftersom ingen av dem kräver verifiering av domänägarskap.

Skapa Advisor-aviseringar

Du [skapa Azure Advisor-aviseringar om nya rekommendationer] med hjälp av olika konfigurationer. Konfigurera Advisor-aviseringar specifikt för App Serivice-certifikat så att du kan få meddelanden när certifikatet kräver validering av domänägarskap:

1. Gå till sidan Azure Advisor.

2. På den vänstra menyn väljer du Övervakningsaviseringar>(förhandsversion)

3. Klicka på + Ny Advisor-avisering i åtgärdsfältet högst upp. Då öppnas ett nytt blad med namnet "Skapa Advisor-aviseringar".

4. Under Villkor väljer du följande:

   Konfigureras av	Rekommendationstyp
   Rekommendationstyp	Domänverifikation krävs för att ditt App Service Certificate ska utfärdas

5. Fyll i resten av de obligatoriska fälten och välj sedan knappen Skapa avisering längst ned.

Ta bort ett App Service-certifikat

Om du tar bort ett App Service-certifikat är borttagningsåtgärden oåterkallelig och slutgiltig. Resultatet är ett återkallat certifikat och alla bindningar i App Service som använder certifikatet blir ogiltiga.

1. På sidan App Service-certifikat väljer du certifikatet.

2. På den vänstra menyn väljer du Översikt>Ta bort.

3. När bekräftelserutan öppnas anger du certifikatnamnet och väljer sedan OK.

Vanliga frågor och svar

Mitt App Service-certifikat har inget värde i Key Vault

Ditt App Service-certifikat är förmodligen inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas. Som en Key Vault-hemlighet underhåller den en Initialize tagg och dess värde och innehållstyp förblir tomma. När domänägarskapet bekräftas visar nyckelvalvshemligheten ett värde och en innehållstyp och taggen ändras till Ready.

Jag kan inte exportera mitt App Service-certifikat med PowerShell

Ditt App Service-certifikat är förmodligen inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas.

Vilka ändringar gör processen för att skapa App Service-certifikat i mitt befintliga nyckelvalv?

Skapandeprocessen gör följande ändringar:

• Lägger till två åtkomstprinciper i valvet:
  • Microsoft.Azure.WebSites (eller Microsoft Azure App Service)
  • CSM-resursprovider för Microsoft-certifikatåterförsäljare (eller Microsoft.Azure.CertificateRegistration)
• Skapar ett borttagningslås som anropas AppServiceCertificateLock i valvet för att förhindra oavsiktlig borttagning av nyckelvalvet.

Relaterat innehåll

• Skydda ett anpassat DNS-namn med en TLS/SSL-bindning i Azure App Service
• Använda HTTPS
• Framtvinga TLS 1.1/1.2
• Använda ett TLS-/SSL-certifikat i koden i Azure App Service
• Vanliga frågor och svar om hur du skapar eller tar bort resurser i Azure App Service