Web uygulamanız için App Service sertifikası oluşturma ve yönetme

Bu makalede App Service sertifikası oluşturma ve sertifikaları yenileme, eşitleme ve silme gibi yönetim görevlerinin nasıl gerçekleştirilmesi gösterilmektedir. App Service sertifikanız olduktan sonra bir App Service uygulamasına aktarabilirsiniz. App Service sertifikası, Azure tarafından yönetilen özel bir sertifikadır. Otomatik sertifika yönetiminin basitliğini ve yenileme ve dışarı aktarma seçeneklerinin esnekliğini birleştirir.

Azure'dan app service sertifikası satın alırsanız, Azure aşağıdaki görevleri yönetir:

• GoDaddy'den satın alma işlemini işler.
• Sertifikanın etki alanı doğrulamasını gerçekleştirir.
• Sertifikayı Azure Key Vault'ta tutar.
• Sertifika yenilemeyi yönetir.
• Sertifikayı App Service uygulamalarında içeri aktarılan kopyalarla otomatik olarak eşitler.

Not

Bir sertifikayı bir uygulamaya yükledikten sonra, sertifika App Service planının kaynak grubuna, bölgesine ve işletim sistemi bileşimine bağlı olan ve dahili olarak web alanı olarak adlandırılan bir dağıtım biriminde depolanır. Bu şekilde, sertifikaya aynı kaynak grubu ve bölge bileşimindeki diğer uygulamalar erişebilir. App Service'e yüklenen veya içeri aktarılan sertifikalar aynı dağıtım ünitesindeki App Services ile paylaşılır.

Önkoşullar

• App Service uygulaması oluşturma. Uygulamanın App Service planı Temel, Standart, Premium veya Yalıtılmış katmanında olmalıdır. Katmanı güncelleştirmek için bkz . Uygulamanın ölçeğini artırma.

Not

App Service sertifikaları şu anda Azure ulusal bulutlarında desteklenmemektedir.

App Service sertifikası satın alma ve yapılandırma

Sertifikayı satın alma

1. Satın alma işlemini başlatmak için App Service sertifikası oluştur sayfasına gidin.

   Not

   Azure'dan satın alınan App Service Sertifikaları GoDaddy tarafından verilir. Bazı etki alanları için, değeriyle 0 issue godaddy.combir CAA etki alanı kaydı oluşturarak GoDaddy'ye açıkça sertifika veren olarak izin vermelisiniz.

   

2. Sertifikayı yapılandırmak için aşağıdaki tabloyu kullanın. İşiniz bittiğinde Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

   Ayar	Açıklama
   Abonelik	Sertifikayla ilişkilendirilecek Azure aboneliği.
   Kaynak Grubu	Sertifikayı içerecek kaynak grubu. Yeni bir kaynak grubu oluşturabilir veya App Service uygulamanızla aynı kaynak grubunu seçebilirsiniz.
   SKU	Oluşturulacak sertifikanın türünü (standart sertifika veya joker karakter sertifikası) belirler.
   Çıplak etki alanı ana bilgisayar adı	Kök etki alanını belirtin. Verilen sertifika hem kök etki alanı hem www de alt etki alanı için güvenlik sağlar. Verilen sertifikada Ortak Ad alanı kök etki alanını, Konu Alternatif Adı alanı da etki alanını belirtir www . Yalnızca bir alt etki alanı için güvenlik sağlamak için, alt etki alanının tam etki alanı adını (örneğin, mysubdomain.contoso.com) belirtin.
   Sertifika adı	App Service sertifikanızın kolay adı.
   Otomatik yenilemeyi etkinleştirme	Süre dolmadan önce sertifikanın otomatik olarak yenilenip yenilenmeyeceğini seçin. Her yenileme, sertifika süre sonunu bir yıl uzatır. Maliyet, aboneliğinize yansıtılır.

3. Dağıtım tamamlandığında Kaynağa git'i seçin.

Sertifikayı Azure Key Vault'ta depolama

Key Vault , bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarını ve gizli dizileri korumaya yardımcı olan bir Azure hizmetidir. App Service sertifikaları için Key Vault kullanmanızı öneririz. Sertifika satın alma işlemini tamamladıktan sonra, sertifikayı kullanmaya başlamadan önce birkaç adımı daha tamamlamanız gerekir.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sertifika menüsünde Sertifika Yapılandırması>Adım 1: Depolama'yı seçin.

   

2. Key Vault Durumu sayfasında Key Vault'tan seç'i seçin.

3. Yeni bir kasa oluşturursanız, kasayı aşağıdaki tabloya göre ayarlayın ve App Service uygulamanızla aynı aboneliği ve kaynak grubunu kullandığınızdan emin olun.

   Ayar	Açıklama
   Kaynak grubu	Önerilen: App Service sertifikanızla aynı kaynak grubu.
   Anahtar kasası adı	Yalnızca alfasayısal karakterler ve tireler kullanan benzersiz bir ad.
   Bölge	App Service uygulamanızla aynı konum.
   Fiyatlandırma katmanı	Daha fazla bilgi için bkz . Azure Key Vault fiyatlandırma ayrıntıları.
   Silinen kasaları tutma günleri	Silme işleminden sonraki gün sayısı, bu nesnelerin kurtarılabilir durumda kalmasını sağlar. (Bkz. Azure Key Vault geçici silmeye genel bakış.) 7 ile 90 arasında bir değer ayarlayın.
   Temizleme koruması	Bu seçeneğin etkinleştirilmesi, silinen tüm nesneleri saklama süresinin tamamı boyunca geçici olarak silinmiş durumda kalmaya zorlar.

4. İleri'yi ve ardından Kasa erişim ilkesi'ni seçin. App Service sertifikaları şu anda RBAC modelini değil yalnızca Key Vault erişim ilkelerini desteklemektedir.

5. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

6. Anahtar kasası oluşturulduktan sonra Kaynağa git'i seçmeyin. Azure Key Vault'tan anahtar kasası seçin sayfasının yeniden yüklenmesini bekleyin.

7. Seç'i seçin.

8. Kasayı seçtikten sonra Key Vault Deposu sayfasını kapatın. 1. Adım: Mağaza seçeneği, başarılı olduğunu göstermek için yeşil bir onay işareti göstermelidir. Sonraki adım için sayfayı açık tutun.

Etki alanı sahipliğini onaylama

1. Önceki bölümdekiyle aynı Sertifika Yapılandırması sayfasından 2. Adım: Doğrula'yı seçin.

   

2. App Service Doğrulama'ya tıklayın. Bu bölümün önceki bölümlerinde etki alanını web uygulamanıza eşlediğiniz için, etki alanı zaten doğrulanmıştır. Bu adımı tamamlamak için Doğrula'yı ve ardından Sertifika Etki Alanı Doğrulandı iletisi görünene kadar Yenile'yi seçmeniz gerekir.

Aşağıdaki etki alanı doğrulama yöntemleri desteklenir:

Metot	Açıklama
App Service Doğrulaması	App Service uygulaması etki alanı sahipliğini zaten doğruladığından, etki alanı zaten aynı abonelikteki bir App Service uygulamasına eşlenmişse en uygun seçenektir. Etki alanı sahipliğini onaylama başlığındaki son adımı gözden geçirin.
Etki Alanı Doğrulama	Azure'dan satın aldığınız app service etki alanını onaylayın. Azure sizin için doğrulama TXT kaydını otomatik olarak ekler ve işlemi tamamlar.
Posta Doğrulama	Etki alanı yöneticisine bir e-posta göndererek etki alanını onaylayın. Yönergeler, seçeneği belirlediğinizde sağlanır.
El ile Doğrulama	DNS TXT kaydı veya HTML sayfası kullanarak etki alanını onaylayın. (İkincisi yalnızca Standart sertifikalar için geçerlidir. Aşağıdaki nota bakın.) Adımlar, seçenek belirtildikten sonra sağlanır. HTML sayfası seçeneği yalnızca HTTPS'nin etkinleştirildiği web uygulamalarında çalışmaz. Kök etki alanı (örneğin, ) veya alt etki alanı (örneğinwww.contoso.com, contoso.comveya test.api.contoso.com) için DNS TXT kaydı aracılığıyla etki alanı doğrulaması için ve sertifika SKU'su ne olursa olsun, DNS kaydınızdaki değerin adı ve etki alanı doğrulama belirtecini kullanarak @ kök etki alanı düzeyinde bir TXT kaydı eklemeniz gerekir.

Önemli

Standart sertifikayla, istenen en üst düzey etki alanı ve www alt etki alanı için bir sertifika alırsınız, örneğin contoso.com ve www.contoso.com. Ancak App Service Doğrulaması ve El ile Doğrulama, sertifikayı yayımladığınızda, yeniden anahtarladığınızda veya yenilediğinizde alt etki alanını desteklemeyen www HTML sayfası doğrulamasını kullanır. Standart sertifika için, istenen üst düzey etki alanıyla alt etki alanını sertifikaya eklemek www için Etki Alanı Doğrulama ve Posta Doğrulama'yı kullanın.

Sertifikanız etki alanı doğrulandıktan sonra bir App Service uygulamasına aktarmaya hazır olursunuz.

Uygulama Hizmetleri sertifikasını yenileme

Uygulama Hizmetleri sertifikalarının süreleri varsayılan olarak bir yıldır. Son kullanma tarihinden önce App Service sertifikalarını bir yıllık artışlarla otomatik olarak veya el ile yenileyebilirsiniz. Yenileme işlemi, mevcut sertifikanın sona erme tarihinden itibaren bir yıla kadar uzatılmış olan yeni bir Uygulama Hizmetleri sertifikası sağlar.

Not

23 Eylül 2021'den itibaren, son 395 gün içinde etki alanını doğrulamadıysanız App Service sertifikaları yenileme, otomatik yenileme veya yeniden anahtar işlemi sırasında etki alanı doğrulaması gerektirir. Yeni sertifika sırası, siz etki alanı doğrulamasını tamamlayana kadar yenileme, otomatik yenileme veya yeniden anahtarlama işlemi sırasında "verme bekleniyor" modunda kalır.

Ücretsiz App Service tarafından yönetilen sertifikanın aksine, satın alınan App Service sertifikalarında otomatik etki alanı yeniden doğrulaması yoktur. Etki alanı sahipliğinin doğrulanmaması başarısız yenilemelerle sonuçlandırılır. App Service sertifikanızı doğrulama hakkında daha fazla bilgi için Etki alanı sahipliğini onaylama makalesini gözden geçirin.

Yenileme işlemi, App Service hizmet sorumlusunun anahtar kasanızda gerekli izinlere sahip olmasını gerektirir. Bu izinler, Bir App Service sertifikasını Azure portalı aracılığıyla içeri aktardığınızda sizin için ayarlanır. Bu izinleri anahtar kasanızdan kaldırmadığınızdan emin olun.

1. App Service sertifikanızın otomatik yenileme ayarını istediğiniz zaman değiştirmek için App Service Sertifikaları sayfasında sertifikayı seçin.

2. Soldaki menüden Ayarları Otomatik Yenile'yi seçin.

3. Açık veya Kapalı'yı ve ardından Kaydet'i seçin.

   Otomatik yenilemeyi açarsanız sertifikalar süresi dolmadan 32 gün önce otomatik olarak yenilenmeye başlayabilir.

   

4. Bunun yerine sertifikayı el ile yenilemek için El ile Yenile'yi seçin. Sertifikanızı süre dolmadan 60 gün önce el ile yenileme isteğinde bulunabilirsiniz, ancak sertifikalar 397 günden uzun süreyle düzenlenemez.

5. Yenileme işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Not

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

Uygulama Hizmetleri sertifikası için yeniden anahtar iste

Sertifikanızın özel anahtarının tehlikeye girdiğini düşünüyorsanız, sertifikanızı yeniden anahtarlayabilirsiniz. Bu eylem sertifika yetkilisinden verilen yeni bir sertifikayla sertifikayı döndürür.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sol menüden Yeniden Anahtarla ve Eşitle'yi seçin.

2. İşlemi başlatmak için Yeniden Anahtarla'yı seçin. Bu işlemin tamamlanması 1-10 dakika sürebilir.

   

3. Etki alanı sahipliğini yeniden doğrulamanız da gerekebilir.

4. Yeniden anahtar işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Not

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

App Service sertifikalarını dışarı aktarma

App Service sertifikası bir Key Vault gizli dizisi olduğundan, diğer Azure hizmetleri için veya Azure dışında kullanabileceğiniz bir kopyayı PFX dosyası olarak dışarı aktarabilirsiniz.

Önemli

Dışarı aktarılan sertifika yönetilmeyen bir yapıttır. App Service Sertifikası yenilendiğinde App Service bu tür yapıtları eşitlemez. Gerektiğinde yenilenen sertifikayı dışarı aktarmanız ve yüklemeniz gerekir.

Azure portalı

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol menüde Sertifikayı Dışarı Aktar'ı seçin.

3. Anahtar Kasası Gizli Dizilerini Aç'ı seçin.

4. Sertifikanın geçerli sürümünü seçin.

5. Sertifika olarak indir'i seçin.

Azure CLI

Azure Cloud Shell'de aşağıdaki komutları çalıştırın veya Azure CLI yüklediyseniz bunları yerel olarak çalıştırın. Yer tutucuları App Service sertifikasını satın alırken kullandığınız adlarla değiştirin.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

İndirilen PFX dosyası, hem genel hem de özel sertifikaları içeren ve boş bir dize olan içeri aktarma parolasına sahip ham bir PKCS12 dosyasıdır. Parola alanını boş bırakarak dosyayı yerel olarak yükleyebilirsiniz. Dosya parola korumalı olmadığından dosyayı Olduğu gibi App Service'e yükleyemezsiniz.

App Service için Azure Danışmanı sertifikasını kullanma

App Service sertifikası, sertifikanızın etki alanı doğrulaması gerektirdiği durumlarla ilgili güvenilirlik önerileri sağlamak üzere Azure Danışmanı ile tümleşiktir. Etki alanını son 395 gün içinde doğrulamadıysanız yenileme, otomatik yenileme veya yeniden anahtar işlemi sırasında sertifikanızın etki alanı sahipliğini doğrulamanız gerekir. Doğrulama gerektiren herhangi bir sertifikayı kaçırmadığınızdan veya herhangi bir sertifikanın süresinin dolma riskini almadığınızdan emin olmak için, App Service sertifikası uyarılarını görüntülemek ve ayarlamak için Azure Danışmanı'nı kullanabilirsiniz.

Danışman önerilerini görüntüleme

App Service sertifikası için Danışman önerisini görüntülemek için:

1. Azure Danışmanı sayfasına gidin.

2. Sol menüden Öneriler>Güvenilirliği'ni seçin

3. Tür eşittir filtre seçeneğini belirleyin ve açılan listeden App Service Sertifikaları'nı arayın. Değer açılan menüde yoksa, app service sertifika kaynaklarınız için öneri oluşturulmamış demektir çünkü bunların hiçbiri etki alanı sahipliği doğrulaması gerektirmez.

Danışman Uyarıları Oluşturma

Farklı yapılandırmalar kullanarak [yeni önerilerde Azure Danışmanı uyarıları oluşturursunuz]. Sertifikanız etki alanı sahipliği doğrulaması gerektirdiğinde bildirim alabilmeniz için Özel Olarak Uygulama Serivice sertifikası için Danışman Uyarıları ayarlamak için:

1. Azure Danışmanı sayfasına gidin.

2. Sol menüden İzleme>Uyarıları (Önizleme) öğesini seçin

3. Üstteki eylem çubuğunda + Yeni Danışman Uyarısı'na tıklayın. Bu, "Danışman Uyarıları Oluştur" adlı yeni bir dikey pencere açar.

4. Koşul'un altında aşağıdakileri seçin:

   Yapılandıran	Öneri Türü
   Öneri Türü	App Service Sertifikanızı düzenlemek için etki alanı doğrulaması gerekiyor

5. Gerekli alanların geri kalanını doldurun, ardından en alttaki Uyarı oluştur düğmesini seçin.

App Service sertifikalarını silme

Bir App Service sertifikasını silerseniz silme işlemi geri alınamaz ve son olur. Sonuç iptal edilmiş bir sertifikadır ve App Service'te sertifikayı kullanan bağlamalar geçersiz hale gelir.

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol menüden Genel Bakış>Sil'i seçin.

3. Onay kutusu açıldığında sertifika adını girin ve Tamam'ı seçin.

Sık sorulan sorular

App Service sertifikamın Key Vault'ta değeri yok

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir. Key Vault gizli dizisi olarak bir Initialize etiket tutar ve değeri ve içerik türü boş kalır. Etki alanı sahipliği onaylandığında anahtar kasası gizli dizisi bir değer ve içerik türü gösterir ve etiket olarak Readydeğişir.

PowerShell ile App Service sertifikamı dışarı aktaramıyorum

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir.

App Service sertifika oluşturma işlemi mevcut anahtar kasamda hangi değişiklikleri yapıyor?

Oluşturma işlemi aşağıdaki değişiklikleri yapar:

• Kasaya iki erişim ilkesi ekler:
  • Microsoft.Azure.WebSites (veya Microsoft Azure App Service)
  • Microsoft sertifika kurumsal bayi CSM Kaynak Sağlayıcısı (veya Microsoft.Azure.CertificateRegistration)
• Anahtar kasasının yanlışlıkla silinmesini önlemek için kasada adlı AppServiceCertificateLock bir silme kilidi oluşturur.

İlgili içerik

• Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama
• HTTPS zorlama
• TLS 1.1/1.2'ye zorlama
• Azure App Service'te kodunuzda TLS/SSL sertifikası kullanma
• Azure Uygulaması Hizmeti'nde kaynak oluşturma veya silme hakkında sık sorulan sorular