App Service sertifikalarını satın alma ve yönetme

Önemli

28 Temmuz 2025'den itibaren App Service Yönetilen Sertifikalarında (ASMC) yapılan değişiklikler sertifikaların belirli senaryolarda nasıl verildiğini ve yenilendiğini etkileyecektir. Çoğu müşterinin işlem gerçekleştirmesi gerekmez ancak daha fazla bilgi için ASMC ayrıntılı blog gönderimizi gözden geçirmenizi öneririz.

Bu makalede, Azure App Service sertifikası oluşturma ve sertifikaları yenileme, eşitleme ve silme gibi yönetim görevlerini gerçekleştirme adımları gösterilmektedir. App Service sertifikanız olduktan sonra bunu bir App Service uygulamasına aktarabilirsiniz. App Service sertifikası, Azure'ın yönettiği özel bir sertifikadır. Otomatik sertifika yönetiminin basitliğini ve yenileme ve dışarı aktarma seçeneklerinin esnekliğini birleştirir.

Azure'dan app service sertifikası satın alırsanız, Azure aşağıdaki görevleri yönetir:

• GoDaddy'den satın alma işlemini işler.
• Sertifikanın etki alanı doğrulamasını gerçekleştirir.
• Sertifikayı Azure Key Vault'ta tutar.
• Sertifika yenilemeyi yönetir.
• Sertifikayı App Service uygulamalarında içeri aktarılan kopyalarla otomatik olarak eşitler.

Bir sertifikayı bir uygulamaya yükledikten sonra, sertifika App Service planının kaynak grubuna, bölgesine ve işletim sistemi bileşimine bağlı bir dağıtım biriminde depolanır. Dahili olarak buna web alanı adı verilir. Bu şekilde, sertifikaya aynı kaynak grubu ve bölge bileşimindeki diğer uygulamalar erişebilir. App Service'e yüklenen veya içeri aktarılan sertifikalar aynı dağıtım birimindeki uygulama hizmetleriyle paylaşılır.

Önkoşullar

• Bir App Service uygulaması oluşturun. Uygulamanın App Service planı Temel, Standart, Premium veya Yalıtılmış katmanında olmalıdır. Katmanı güncelleştirmek için bkz. Uygulamanın ölçeğini artırma.

App Service sertifikaları şu anda Azure ulusal bulutlarında desteklenmemektedir.

App Service sertifikası satın alma ve yapılandırma

Sertifikayı satın alma

1. Satın alma işlemini başlatmak için App Service sertifikası oluştur sayfasına gidin.

   Not

   GoDaddy, Azure'dan satın alınan App Service sertifikalarını sağlar. Bazı etki alanları için, değeriyle bir 0 issue godaddy.com oluşturarak GoDaddy'e sertifika sağlayıcısı olarak açıkça izin vermeniz gerekir.

   

2. Sertifikayı yapılandırmak için aşağıdaki tabloyu kullanın. İşiniz bittiğinde Gözden Geçir + Oluştur'u ve ardından Oluştur'u seçin.

   Ayar	Açıklama
   Abonelik	Sertifikayla ilişkilendirilecek Azure aboneliği.
   Kaynak Grubu	Sertifikayı içeren kaynak grubu. Yeni bir kaynak grubu oluşturabilir veya App Service uygulamanızla aynı kaynak grubunu seçebilirsiniz.
   SKU	Oluşturulacak sertifikanın türünü (standart sertifika veya joker karakter sertifikası) belirler.
   Çıplak etki alanı ana bilgisayar adı	Kök etki alanını belirtin. Verilen sertifika hem kök etki alanı hem dewwwgüvenlik sağlar. Verilen sertifikada Ortak Ad alanı kök etki alanını belirtir. Konu Alternatif Adı alanı etki alanını www belirtir. Yalnızca bir alt etki alanı için güvenlik sağlamak için, alt etki alanının tam etki alanı adını (örneğin, mysubdomain.contoso.com) belirtin.
   Sertifika adı	App Service sertifikanızın okunabilir adı.
   Otomatik yenilemeyi etkinleştirme	Süre dolmadan önce sertifikanın otomatik olarak yenilenip yenilenmeyeceğini seçin. Her yenileme, sertifika süre sonunu bir yıl uzatır. Maliyet, aboneliğinize yansıtılır.

3. Dağıtım tamamlandıktan sonra Kaynağa git seçeneğini seçin.

Sertifikayı Azure Key Vault'ta depolama

Key Vault , bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarını ve gizli dizileri korumaya yardımcı olan bir Azure hizmetidir. App Service sertifikaları için Key Vault kullanmanızı öneririz. Sertifika satın alma işlemini tamamladıktan sonra, sertifikayı kullanmaya başlamadan önce birkaç adımı daha tamamlamanız gerekir.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sertifika bölmesinde Sertifika Yapılandırması>Adım 1: Depolama'yı seçin.

   

2. Key Vault Durumu sayfasında Key Vault'tan seç'i seçin.

3. Yeni bir kasa oluşturursanız, kasayı aşağıdaki tabloya göre ayarlayın. App Service uygulamanızla aynı aboneliği ve kaynak grubunu kullandığınızdan emin olun.

   Ayar	Açıklama
   Kaynak grubu	Önerilen: App Service sertifikanızla aynı kaynak grubu.
   Anahtar kasası adı	Yalnızca alfasayısal karakterler ve tireler kullanan benzersiz bir ad.
   Bölge	App Service uygulamanızla aynı konum.
   Fiyatlandırma katmanı	Daha fazla bilgi için bkz . Azure Key Vault fiyatlandırma ayrıntıları.
   Silinen kasaların saklanacağı gün sayısı	Silme işleminden sonraki gün sayısı, bu nesnelerin kurtarılabilir durumda kalmasını sağlar. (Bkz. Azure Key Vault geçici silmeye genel bakış.) 7 ile 90 arasında bir değer ayarlayın.
   Silme Koruması	Bu seçeneğin etkinleştirilmesi, silinen tüm nesneleri saklama süresinin tamamı boyunca geçici olarak silinmiş durumda kalmaya zorlar.

4. İleri'yi seçin ve ardından Kasa erişim ilkesi'ni seçin. App Service sertifikaları şu anda rol tabanlı erişim denetimi modelini değil yalnızca Key Vault erişim ilkelerini desteklemektedir.

5. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

6. Anahtar kasası oluşturulduktan sonra Kaynağa git'i seçmeyin. Select key vault from Azure Key Vault sayfasının yeniden yüklenmesini bekleyin.

7. Seç'i seçin.

8. Kasayı seçtikten sonra Key Vault Deposu sayfasını kapatın. 1. Adım: Mağaza seçeneği, başarılı olduğunu göstermek için yeşil bir onay işareti göstermelidir. Sonraki adım için sayfayı açık tutun.

Alan adı sahipliğini onaylama

1. Önceki bölümdekiyle aynı Sertifika Yapılandırması sayfasında 2. Adım: Doğrula'yı seçin.

   

2. App Service Doğrulama'ya tıklayın. Bu bölümün önceki bölümlerinde etki alanını web uygulamanıza eşlediğiniz için, etki alanı zaten doğrulanmıştır. Bu adımı tamamlamak için Doğrula'yı seçin ve ardından Sertifika Etki Alanı Doğrulandı iletisi görünene kadar Yenile'yi seçin.

Aşağıdaki etki alanı doğrulama yöntemleri desteklenir:

Metot	Açıklama
Uygulama Hizmeti doğrulaması	App Service uygulaması etki alanı sahipliğini doğruladığından, etki alanı zaten aynı abonelikteki bir App Service uygulamasına eşlenmişse en uygun seçenektir. Son adımı etki alanı sahipliğini doğrulama başlığında gözden geçirin.
Etki alanı doğrulaması	Azure'dan satın aldığınız App Service etki alanını onaylayın. Azure sizin için doğrulama TXT kaydını otomatik olarak ekler ve işlemi tamamlar.
Posta doğrulama	Etki alanı yöneticisine bir e-posta göndererek etki alanını onaylayın. Yönergeler, seçeneği belirlediğinizde sağlanır.
El ile doğrulama	Etki Alanı Adı Sistemi (DNS) TXT kaydı veya HTML sayfası kullanarak etki alanını onaylayın. (İkincisi yalnızca Standart sertifikalar için geçerlidir. Aşağıdaki nota bakın.) Adımlar, seçenek belirtildikten sonra sağlanır. HTML sayfası seçeneği yalnızca HTTPS'nin etkinleştirildiği web uygulamalarında çalışmaz. Kök etki alanı (örneğin, ) veya alt etki alanı (örneğin, contoso.comwww.contoso.com veya test.api.contoso.com) için DNS TXT kaydı aracılığıyla etki alanı doğrulaması için ve sertifika SKU'su ne olursa olsun kök etki alanı düzeyinde bir TXT kaydı eklemeniz gerekir. DNS kaydınızdaki değer için ad ve etki alanı doğrulama belirteci için kullanın @ .

Önemli

Standart sertifikayla, istenen en üst düzey etki alanı veiçin bir sertifika alırsınız, örneğin www ve contoso.com. App Service doğrulaması ve el ile doğrulama, sertifika yayımladığınızda, yeniden anahtarladığınızda veya yenilediğinizde \www alt etki alanını desteklemeyen HTML sayfası doğrulamasını kullanır. İstenen üst düzey etki alanıyla www alt etki alanını sertifikaya eklemek için, Standart sertifikada etki alanı doğrulamasını ve posta doğrulamasını kullanın.

Sertifikanız etki alanı doğrulandıktan sonra bir App Service uygulamasına aktarabilirsiniz.

Uygulama Hizmetleri sertifikasını yenileme

Uygulama Hizmetleri sertifikalarının süreleri varsayılan olarak bir yıldır. Son kullanma tarihinden önce App Service sertifikalarını bir yıllık artışlarla otomatik olarak veya el ile yenileyebilirsiniz. Yenileme işlemi, mevcut sertifikanın sona erme tarihinden itibaren bir yıla kadar uzatılmış olan yeni bir Uygulama Hizmetleri sertifikası sağlar.

23 Eylül 2021 itibarıyla, son 395 gün içinde etki alanını doğrulamadıysanız App Service sertifikaları yenileme, otomatik yenileme veya yeniden anahtar işlemi sırasında etki alanı doğrulaması gerektirir. Yeni sertifika sırası, siz etki alanı doğrulamasını bitirene kadar yenileme, otomatik yenileme veya yeniden anahtarlama işlemi sırasında Verme bekleniyor modunda kalır.

Ücretsiz App Service tarafından yönetilen sertifikadan farklı olarak, satın alınan App Service sertifikalarında otomatik etki alanı geri doğrulaması yoktur. Etki alanı sahipliğinin doğrulanmaması başarısız yenilemelerle sonuçlandırılır. App Service sertifikanızı doğrulama hakkında daha fazla bilgi için Etki alanı sahipliğini onaylama'yı inceleyin.

Yenileme işlemi, App Service hizmet sorumlusunun anahtar kasanızda gerekli izinlere sahip olmasını gerektirir. Bu izinler, Bir App Service sertifikasını Azure portalı aracılığıyla içeri aktardığınızda sizin için ayarlanır. Bu izinleri anahtar kasanızdan kaldırmadığınızdan emin olun.

1. App Service sertifikanızın otomatik yenileme ayarını istediğiniz zaman değiştirmek için App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol bölmede Otomatik Yenileme Ayarları'nı seçin.

3. Açık veya Kapalı'yı ve ardından Kaydet'i seçin.

   Otomatik yenilemeyi açarsanız sertifikalar süresi dolmadan 32 gün önce otomatik olarak yenilenmeye başlayabilir.

   

4. Bunun yerine sertifikayı el ile yenilemek için El ile Yenile'yi seçin. Sertifikanızı süre dolmadan 60 gün önce el ile yenileme isteğinde bulunabilirsiniz, ancak sertifikalar 397 günden uzun süreyle düzenlenemez.

5. Yenileme işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

Uygulama Hizmeti sertifikasını yeniden anahtarla

Sertifikanızın özel anahtarının tehlikeye girdiğini düşünüyorsanız, sertifikanızı yeniden anahtarlayabilirsiniz. Bu eylem sertifika yetkilisinden verilen yeni bir sertifikayla sertifikayı döndürür.

23 Eylül 2021 itibarıyla, son 395 gün içinde etki alanını doğrulamadıysanız App Service sertifikaları yenileme, otomatik yenileme veya yeniden anahtar işlemi sırasında etki alanı doğrulaması gerektirir. Yeni sertifika sırası, siz etki alanı doğrulamasını bitirene kadar yenileme, otomatik yenileme veya yeniden anahtarlama işlemi sırasında Verme bekleniyor modunda kalır.

Ücretsiz App Service tarafından yönetilen sertifikadan farklı olarak, satın alınan App Service sertifikalarında otomatik etki alanı geri doğrulaması yoktur. Etki alanı sahipliğinin doğrulanmaması başarısız yenilemelerle sonuçlandırılır. App Service sertifikanızı doğrulama hakkında daha fazla bilgi için Etki alanı sahipliğini onaylama'yı inceleyin.

Yeniden anahtar işlemi, App Service hizmet sorumlusunun anahtar kasanızda gerekli izinlere sahip olmasını gerektirir. Bu izinler, Bir App Service sertifikasını Azure portalı aracılığıyla içeri aktardığınızda sizin için ayarlanır. Bu izinleri anahtar kasanızdan kaldırmadığınızdan emin olun.

1. App Service Sertifikaları sayfasında sertifikayı seçin. Sol bölmede Yeniden Anahtarla ve Eşitle'yi seçin.

2. İşlemi başlatmak için Yeniden Anahtarla'yı seçin. Bu işlemin tamamlanması 1-10 dakika sürebilir.

   

3. Etki alanı sahipliğini yeniden doğrulamanız da gerekebilir.

4. Yeniden anahtar işlemi tamamlandıktan sonra Eşitle'yi seçin.

   Eşitleme işlemi, App Service'teki sertifika için konak adı bağlamalarını uygulamalarınızda kapalı kalma süresine neden olmadan otomatik olarak güncelleştirir.

   Eşitle'yi seçmezseniz App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.

App Service sertifikalarını dışarı aktarma

App Service sertifikası bir Key Vault gizli dizisi olduğundan, bir kopyasını diğer Azure hizmetleri için veya Azure dışında kullanabileceğiniz bir .pfx dosyası olarak dışarı aktarabilirsiniz.

Dışarı aktarılan sertifika yönetilmeyen bir yapıttır. App Service sertifikası yenilendiğinde App Service bu tür yapıtları eşitlemez. Gerektiğinde yenilenen sertifikayı dışarı aktarmanız ve yüklemeniz gerekir.

Azure portalı

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol bölmede Sertifikayı Dışarı Aktar'ı seçin.

3. Anahtar Kasası Gizli Dizilerini Aç'ı seçin.

4. Sertifikanın geçerli sürümünü seçin.

5. Sertifika olarak indir seçeneğini tıklayın.

Azure CLI

Azure Cloud Shell'de aşağıdaki komutları çalıştırın veya Azure CLI'yı yüklediyseniz bunları yerel olarak çalıştırın. Yer tutucuları App Service sertifikasını satın alırken kullandığınız adlarla değiştirin.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

İndirilen .pfx dosyası, hem genel hem de özel sertifikaları içeren ve boş bir dize olan içeri aktarma parolasına sahip ham bir PKCS12 dosyasıdır. Parola alanını boş bırakarak dosyayı yerel olarak yükleyebilirsiniz. Dosya parola korumalı olmadığından dosyayı App Service'e yükleyemezsiniz.

App Service sertifikaları için Azure Danışmanı'ni kullanma

App Service sertifikası, sertifikanızın etki alanı doğrulaması gerektirdiği durumlarda güvenilirlik önerileri sağlamak için Azure Danışmanı ile tümleştirilir. Son 395 gün içinde etki alanını doğrulamadıysanız yenileme, otomatik yenileme veya yeniden anahtar işlemi sırasında sertifikanızın etki alanı sahipliğini doğrulamanız gerekir. Doğrulama gerektiren herhangi bir sertifikayı kaçırmadığınızdan veya herhangi bir sertifikanın süresinin dolma riskini almadığınızdan emin olmak için, App Service sertifikası uyarılarını görüntülemek ve ayarlamak için Danışman'ı kullanın.

Danışman önerilerini görüntüleme

App Service sertifikası için Danışman önerilerini görüntülemek için:

1. Azure Danışmanı sayfasına gidin.

2. Sol bölmede Öneriler>Güvenilirliği'ni seçin.

3. Tür eşittir filtre seçeneğini belirleyin ve açılan listede App Service Sertifikaları'nı arayın. Değer açılan listede yoksa, hiçbiri etki alanı sahipliği doğrulaması gerektirmediğinden App Service sertifika kaynaklarınız için öneri oluşturulmamış demektir.

Danışman uyarıları oluşturma

Farklı yapılandırmaları kullanarak yeni önerilerde Danışman uyarıları oluşturursunuz. Sertifikanız etki alanı sahipliği doğrulaması gerektirdiğinde bildirim alabilmeniz için özel olarak bir App Service sertifikası için Danışman uyarıları ayarlamak için:

1. Azure Danışmanı sayfasına gidin.

2. Sol bölmede İzleme>Uyarıları (Önizleme) öğesini seçin.

3. Danışman Uyarıları Oluştur bölmesini açmak için üstteki çubukta + Yeni Danışman Uyarısı'nı seçin.

4. Koşul'un altında aşağıdaki seçeneği belirleyin:

   Tarafından yapılandırıldı	Öneri türü
   Öneri türü	Etki alanı doğrulaması gereklidir, bu nedenle App Service sertifikanızın verilmesi gerekiyor.

5. Gerekli alanların geri kalanını doldurun ve uyarı oluştur'u seçin.

App Service sertifikalarını silme

Bir App Service sertifikasını silerseniz silme işlemi geri alınamaz ve son olur. Sonuç, iptal edilmiş bir sertifikadır. App Service'te sertifikayı kullanan bağlamalar geçersiz hale gelir.

1. App Service Sertifikaları sayfasında sertifikayı seçin.

2. Sol bölmede Genel Bakış>Sil'i seçin.

3. Onay kutusu açıldığında sertifika adını girin ve Tamam'ı seçin.

Sık sorulan sorular

App Service sertifikamın Key Vault'ta neden bir değeri yok?

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir. Anahtar kasası sırrı olarak bir Initialize etiketini saklar ve değeri ile içerik türü boş kalır. Alan adı sahipliği onaylandığında anahtar kasa gizli öğe bir değer ve içerik türü gösterir ve etiket değişir ve Ready olur.

App Service sertifikamı Neden PowerShell ile dışarı aktaramıyorum?

App Service sertifikanız büyük olasılıkla henüz etki alanı doğrulanmamıştır. Etki alanı sahipliği onaylanana kadar App Service sertifikanız kullanıma hazır değildir.

App Service sertifika oluşturma işlemi mevcut anahtar kasamda hangi değişiklikleri yapıyor?

Oluşturma işlemi aşağıdaki değişiklikleri yapar:

• Kasaya iki erişim ilkesi ekler:
  • Microsoft Azure App Service (veya Microsoft.Azure.WebSites)
  • Microsoft sertifika kurumsal bayi CSM Kaynak Sağlayıcısı (veya Microsoft.Azure.CertificateRegistration)
• Anahtar kasasının yanlışlıkla silinmesini önlemek için kasada silme kilidi adlı bir AppServiceCertificateLock oluşturur.

İlgili içerik

• Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama
• HTTPS'i zorla
• TLS 1.1/1.2'ye zorlama
• Azure App Service'te kodunuzda TLS/SSL sertifikası kullanma
• Azure Uygulaması Hizmeti'nde kaynak oluşturma veya silme hakkında sık sorulan sorular