Web uygulamanız için App Service sertifikası oluşturma ve yönetme

Bu makalede App Service sertifikası oluşturma ve sertifikayı yönetme (yenileme, eşitleme ve silme gibi) gösterilmektedir. App Service sertifikanız olduktan sonra bir App Service uygulamasına aktarabilirsiniz. App Service sertifikası, Azure tarafından yönetilen özel bir sertifikadır. Otomatik sertifika yönetiminin basitliğini ve yenileme ve dışarı aktarma seçeneklerinin esnekliğini birleştirir.

Azure'dan app service sertifikası satın alırsanız, Azure aşağıdaki görevleri yönetir:

• GoDaddy'den satın alma işlemini işler.
• Sertifikanın etki alanı doğrulamasını gerçekleştirir.
• Sertifikayı Azure Key Vault'ta tutar.
• Sertifika yenilemeyi yönetir.
• Sertifikayı App Service uygulamalarında içeri aktarılan kopyalarla otomatik olarak eşitler.

Not

Bir sertifikayı bir uygulamaya yükledikten sonra, sertifika App Service planının kaynak grubuna, bölgesine ve işletim sistemi bileşimine bağlı olan ve dahili olarak web alanı olarak adlandırılan bir dağıtım biriminde depolanır. Bu şekilde, sertifikaya aynı kaynak grubu ve bölge bileşimindeki diğer uygulamalar erişebilir. App Service'e yüklenen veya içeri aktarılan sertifikalar aynı dağıtım ünitesindeki App Services ile paylaşılır.

Önkoşullar

• App Service uygulaması oluşturma. Uygulamanın App Service planı Temel, Standart, Premium veya Yalıtılmış katmanında olmalıdır. Katmanı güncelleştirmek için bkz . Uygulamanın ölçeğini artırma.

Not

App Service sertifikaları şu anda Azure Ulusal Bulutlarında desteklenmemektedir.

App Service sertifikası satın alma ve yapılandırma

Sertifika satın alma işlemi başlat

1. App Service Sertifikası oluşturma sayfasına gidin ve App Service sertifikası satın alma işleminizi başlatın.

   Not

   Azure'dan satın alınan App Service Sertifikaları GoDaddy tarafından verilir. Bazı etki alanları için, aşağıdaki değere sahip bir CAA etki alanı kaydı oluşturarak GoDaddy'ye sertifika veren olarak açıkça izin vermelisiniz:0 issue godaddy.com

   

2. Sertifikayı yapılandırmanıza yardımcı olması için aşağıdaki tabloyu kullanın. İşiniz bittiğinde Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

   Ayar	Açıklama
   Abonelik	Sertifikayla ilişkilendirilecek Azure aboneliği.
   Kaynak grubu	Sertifikayı içerecek kaynak grubu. Yeni bir kaynak grubu oluşturabilir veya App Service uygulamanızla aynı kaynak grubunu seçebilirsiniz.
   SKU	Oluşturulacak sertifikanın türünü (standart sertifika veya joker karakter sertifikası) belirler.
   Çıplak Etki Alanı Ana Bilgisayar Adı	Kök etki alanını belirtin. Verilen sertifika hem kök etki alanının hem de alt etki alanının www güvenliğini sağlar. Verilen sertifikada Ortak Ad alanı kök etki alanını, Konu Alternatif Adı alanı da etki alanını belirtir www . Yalnızca herhangi bir alt etki alanının güvenliğini sağlamak için, alt etki alanının tam etki alanı adını (örneğin, mysubdomain.contoso.com) belirtin.
   Sertifika adı	App Service sertifikanızın kolay adı.
   Otomatik yenilemeyi etkinleştirme	Süre dolmadan önce sertifikanın otomatik olarak yenilenip yenilenmeyeceğini seçin. Her yenileme, sertifika süre sonunu bir yıl uzatır ve maliyet aboneliğinize yansıtılır.

3. Dağıtım tamamlandığında Kaynağa git'i seçin.

Sertifikayı Azure Key Vault'ta depolama

Key Vault , bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarını ve gizli dizileri korumaya yardımcı olan bir Azure hizmetidir. App Service sertifikaları için, anahtar kasası tercih edilir. Sertifika satın alma işlemini tamamladıktan sonra, bu sertifikayı kullanmaya başlamadan önce birkaç adımı daha tamamlamanız gerekir.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sertifika menüsünde Sertifika Yapılandırması>Adım 1: Depolama'yı seçin.

   

2. Key Vault Durumu sayfasında Key Vault'tan seç'i seçin.

3. Yeni bir kasa oluşturursanız, kasayı aşağıdaki tabloya göre ayarlayın ve App Service uygulamanızla aynı aboneliği ve kaynak grubunu kullandığınızdan emin olun.

   Ayar	Açıklama
   Kaynak grubu	Önerilen: App Service sertifikanızla aynı kaynak grubu.
   Anahtar kasası adı	Yalnızca alfasayısal karakterler ve tireler kullanan benzersiz bir ad.
   Bölge	App Service uygulamanızla aynı konum.
   Fiyatlandırma katmanı	Daha fazla bilgi için bkz . Azure Key Vault fiyatlandırma ayrıntıları.
   Silinen kasaları tutma günleri	Nesnelerin kurtarılabilir durumda kaldığı silme işleminden sonraki gün sayısı (bkz . Azure Key Vault geçici silmeye genel bakış). 7 ile 90 arasında bir değer ayarlayın.
   Temizleme koruması	Geçici olarak silinen st nesnelerinin el ile temizlenmesini engeller. Bu seçeneğin etkinleştirilmesi, silinen tüm nesneleri saklama süresinin tamamı boyunca geçici olarak silinmiş durumda kalmaya zorlar.

4. İleri'yi seçin ve Kasa erişim ilkesi'ni seçin. App Service sertifikaları şu anda RBAC modelini değil yalnızca Key Vault erişim ilkelerini desteklemektedir.

5. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

6. Anahtar kasası oluşturulduktan sonra Kaynağa git'i seçmeyin ancak Azure Key Vault'tan anahtar kasası seçin sayfasının yeniden yüklenmesini bekleyin.

7. Seç'i seçin.

8. Kasayı seçtikten sonra Key Vault Deposu sayfasını kapatın. 1. Adım: Mağaza seçeneği, başarılı olduğunu göstermek için yeşil bir onay işareti göstermelidir. Sonraki adım için sayfayı açık tutun.

Etki alanı sahipliğini onaylama

1. Önceki bölümdeki aynı Sertifika Yapılandırması sayfasından 2. Adım: Doğrula'yı seçin.

   

2. App Service Doğrulama'ya tıklayın. Ancak, daha önce Önkoşullar'a göre etki alanını web uygulamanıza eşlediğiniz için, etki alanı zaten doğrulanmıştır. Bu adımı tamamlamak için Doğrula'yı ve ardından Sertifika Etki Alanı Doğrulandı iletisi görünene kadar Yenile'yi seçmeniz gerekir.

Aşağıdaki etki alanı doğrulama yöntemleri desteklenir:

Metot	Açıklama
App Service Doğrulaması	App Service uygulaması etki alanı sahipliğini zaten doğruladığından, etki alanı zaten aynı abonelikteki bir App Service uygulamasına eşlenmişse en uygun seçenektir. Etki alanı sahipliğini onaylama başlığındaki son adımı gözden geçirin.
Etki Alanı Doğrulama	Azure'dan satın aldığınız app service etki alanını onaylayın. Azure sizin için doğrulama TXT kaydını otomatik olarak ekler ve işlemi tamamlar.
Posta Doğrulama	Etki alanı yöneticisine bir e-posta göndererek etki alanını onaylayın. Yönergeler, seçeneği belirlediğinizde sağlanır.
El ile Doğrulama	Etki alanını, aşağıdaki nota göre yalnızca Standart sertifikalar için geçerli olan bir DNS TXT kaydı veya HTML sayfası kullanarak onaylayın. Adımlar, seçenek belirtildikten sonra sağlanır. "Yalnızca HTTPS" etkin web uygulamaları için HTML sayfası seçeneği çalışmaz. Her iki kök etki alanı için DNS TXT kaydı yoluyla etki alanı doğrulaması için (örn. "contoso.com") veya alt etki alanı (örn. "www.contoso.com", "test.api.contoso.com") ve sertifika SKU'sunun ne olursa olsun, ad için '@' ve DNS kaydınızdaki değer için etki alanı doğrulama belirtecini kullanarak kök etki alanı düzeyinde bir TXT kaydı eklemeniz gerekir.

Önemli

Standart sertifikayla, istenen en üst düzey etki alanı vewww alt etki alanı için bir sertifika alırsınız, örneğin contoso.com ve www.contoso.com. Ancak App Service Doğrulaması ve El ile Doğrulama , sertifikayı gönderirken, yeniden anahtarlarken veya yenilerken alt etki alanını desteklemeyen www HTML sayfası doğrulamasını kullanır. Standart sertifika için, istenen üst düzey etki alanıyla alt etki alanını sertifikaya eklemek www için Etki Alanı Doğrulama ve Posta Doğrulama'yı kullanın.

Sertifikanız etki alanı doğrulandıktan sonra bir App Service uygulamasına aktarmaya hazır olursunuz.

App Service sertifikalarını yenileme

App Service sertifikalarının varsayılan olarak bir yıllık geçerlilik süresi vardır. Son kullanma tarihinden önce ve daha yakın bir tarihte App Service sertifikalarını bir yıllık artışlarla otomatik olarak veya el ile yenileyebilirsiniz. Yenileme işlemi, mevcut sertifikanın sona erme tarihinden itibaren bir yıla kadar uzatılmış olan yeni bir App Service sertifikası sağlar.

Not

23 Eylül 2021'den itibaren, son 395 gün içinde etki alanını doğrulamadıysanız, App Service sertifikaları yenileme veya yeniden anahtar işlemi sırasında etki alanı doğrulaması gerektirir. Yeni sertifika sırası, siz etki alanı doğrulamasını tamamlayana kadar yenileme veya yeniden anahtarlama işlemi sırasında "verme bekleniyor" modunda kalır.

Ücretsiz App Service tarafından yönetilen sertifikanın aksine, App Service sertifikaları için etki alanı yeniden doğrulama otomatik değildir . Etki alanı sahipliğinin doğrulanmaması başarısız yenilemelerle sonuçlandırılır. App Service sertifikanızı doğrulama hakkında daha fazla bilgi için Etki alanı sahipliğini onaylama makalesini gözden geçirin.

Yenileme işlemi, App Service için iyi bilinen hizmet sorumlusunun anahtar kasanızda gerekli izinlere sahip olmasını gerektirir. Bu izinler, Bir App Service sertifikasını Azure portalı aracılığıyla içeri aktardığınızda sizin için ayarlanır. Bu izinleri anahtar kasanızdan kaldırmadığınızdan emin olun.

1. App Service sertifikanızın otomatik yenileme ayarını istediğiniz zaman değiştirmek için App Service Sertifikaları sayfasında sertifikayı seçin.

2. Soldaki menüde otomatik yenileme Ayarlar'i seçin.

3. Açık veya Kapalı'yı ve ardından Kaydet'i seçin.

   Otomatik yenilemeyi açarsanız sertifikalar süresi dolmadan 32 gün önce otomatik olarak yenilenmeye başlayabilir.

   

4. Bunun yerine sertifikayı el ile yenilemek için El ile Yenile'yi seçin. Sertifikanızı son kullanma tarihinden 60 gün önce el ile yenileme isteğinde bulunabilirsiniz, ancak en fazla son kullanma tarihi 397 gün olacaktır.

5. Yenileme işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Not

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

Yeniden anahtar ve App Service sertifikası

Sertifikanızın özel anahtarının tehlikeye girdiğini düşünüyorsanız, sertifikanızı yeniden anahtarlayabilirsiniz. Bu eylem sertifika yetkilisinden verilen yeni bir sertifikayla sertifikayı yuvarlar.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sol menüden Yeniden Anahtarla ve Eşitle'yi seçin.

2. İşlemi başlatmak için Yeniden Anahtarla'yı seçin. Bu işlemin tamamlanması 1-10 dakika sürebilir.

   

3. Etki alanı sahipliğini yeniden doğrulamanız da gerekebilir.

4. Yeniden anahtar işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Not

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

App Service sertifikalarını dışarı aktarma

App Service sertifikası bir Key Vault gizli dizisi olduğundan, diğer Azure hizmetleri için veya Azure dışında kullanabileceğiniz bir kopyayı PFX dosyası olarak dışarı aktarabilirsiniz.

Önemli

Dışarı aktarılan sertifika yönetilmeyen bir yapıttır. App Service Sertifikası yenilendiğinde App Service bu tür yapıtları eşitlemez. Gerektiğinde yenilenen sertifikayı dışarı aktarmanız ve yüklemeniz gerekir.

Azure portalı

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol menüde Sertifikayı Dışarı Aktar'ı seçin.

3. Anahtar Kasası Gizli Dizilerini Aç'ı seçin.

4. Sertifikanın geçerli sürümünü seçin.

5. Sertifika olarak indir'i seçin.

Azure CLI

Azure Cloud Shell'de aşağıdaki komutları çalıştırın veya Azure CLI'yı yüklediyseniz bunları yerel olarak çalıştırın. Yer tutucuları App Service sertifikasını satın alırken kullandığınız adlarla değiştirin.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

İndirilen PFX dosyası, hem genel hem de özel sertifikaları içeren ve boş bir dize olan içeri aktarma parolasına sahip ham bir PKCS12 dosyasıdır. Parola alanını boş bırakarak dosyayı yerel olarak yükleyebilirsiniz. Dosya parola korumalı olmadığından dosyayı Olduğu gibi App Service'e yükleyemezsiniz.

App Service sertifikalarını silme

Bir App Service sertifikasını silerseniz silme işlemi geri alınamaz ve son olur. Sonuç iptal edilmiş bir sertifikadır ve App Service'te bu sertifikayı kullanan bağlamalar geçersiz hale gelir.

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol menüden Genel Bakış>Sil'i seçin.

3. Onay kutusu açıldığında sertifika adını girin ve Tamam'ı seçin.

Sık sorulan sorular

App Service sertifikamın Key Vault'ta değeri yok

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir. Anahtar kasası gizli dizisi olarak bir Initialize etiket tutar ve değeri ve içerik türü boş kalır. Etki alanı sahipliği onaylandığında anahtar kasası gizli dizisi bir değer ve içerik türü gösterir ve etiket olarak Readydeğişir.

PowerShell ile App Service sertifikamı dışarı aktaramıyorum

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir.

App Service sertifika oluşturma işlemi mevcut Key Vault'umda hangi değişiklikleri yapıyor?

Oluşturma işlemi aşağıdaki değişiklikleri yapar:

• Kasaya iki erişim ilkesi ekler:
  • Microsoft.Azure.WebSites (veya Microsoft Azure App Service)
  • Microsoft sertifika kurumsal bayi CSM Kaynak Sağlayıcısı (veya Microsoft.Azure.CertificateRegistration)
• Anahtar kasasının yanlışlıkla silinmesini önlemek için kasada adlı AppServiceCertificateLock bir silme kilidi oluşturur.

Diğer kaynaklar

• Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama
• HTTPS zorlama
• TLS 1.1/1.2'ye zorlama
• Azure App Service'te kodunuzda TLS/SSL sertifikası kullanma
• SSS: App Service Sertifikaları