在 Azure App 服務 中新增和管理 TLS/SSL 憑證

  • 發行項

您可以新增數位安全性憑證來用於應用程式程式碼中或保護 Azure App Service 中的自訂 DNS 名稱,以提供可高度調整、自我修補的虛擬主機服務。 目前稱為傳輸層安全性 (TLS) 憑證,先前又稱為安全通訊端層 (SSL) 憑證,這些私人或公開憑證透過加密您的瀏覽器、您所瀏覽的網站及網站伺服器之間傳送的資料,來協助您保護網際網路連線。

下表列出可供您在 App Service 中新增憑證的選項:

選項 描述
建立免費 App Service 受控憑證 免費又易於使用的私人憑證 (如果您在 App Service 中只需要保護自訂網域)。
購買 App Service 憑證 此為由 Azure 管理的私人憑證。 它具有自動化憑證管理的簡易性,並兼具更新和匯出選項的彈性。
從金鑰保存庫匯入憑證 如果您使用 Azure Key Vault 管理您的 PKCS12 憑證,這會很有用。 請參閱私人憑證需求
上傳私人憑證 如果您已經有協力廠商提供者的私人憑證,您可以將該憑證上傳。 請參閱私人憑證需求
上傳公開憑證 公用憑證不會用來保護自訂網域的安全,但如果您需要這些憑證來存取遠端資源,您可以將憑證載入程式碼中。

注意

將憑證上傳至應用程式之後,憑證會儲存在部署單位中,以繫結至 App Service 方案的資源群組、區域和作業系統組合 (在內部稱為「網路空間」)。 如此一來,相同資源群組和區域組合中的其他應用程式就可以存取憑證。

必要條件

私人憑證需求

免費 App Service 受控憑證App Service 憑證已符合 App Service 的需求。 如果您選擇將私人憑證上傳或匯入至 App Service,您的憑證就必須符合下列需求:

  • 匯出為受密碼保護的 PFX 檔案 (以三重 DES 加密)。
  • 包含長度至少為 2048 位元的私密金鑰
  • 包含憑證鏈結中的所有中繼憑證和根憑證。

若要保護 TLS 繫結中的自訂網域,此憑證還有其他需求:

注意

橢圓曲線密碼編譯 (ECC) 憑證適用於 App Service,但不在本文討論範圍內。 如需建立 ECC 憑證的確切步驟,請洽詢您的憑證授權單位。

準備您的 Web 應用程式

若要為您的 App Service 應用程式建立自訂 TLS/SSL 繫結或啟用用戶端憑證,您的 App Service 方案 必須使用基本標準進階隔離層。 若要確定 Web 應用程式在支援的定價層,請遵循下列步驟:

移至您的 Web 應用程式

  1. Azure 入口網站的搜尋方塊中,尋找並選取 [App Service]。

    Azure 入口網站、搜尋方塊及已選取 [App Service] 的螢幕擷取畫面。

  2. 在 [應用程式服務] 頁面上,選取您 Web 應用程式的名稱。

    Azure 入口網站中 [應用程式服務] 頁面的螢幕擷取畫面,其中顯示所有執行中 Web 應用程式的清單並醒目提示清單中的第一個應用程式。

    您現在位於 Web 應用程式的管理頁面上。

檢查定價層

  1. 在 Web 應用程式左側功能表的 [設定] 區段底下,選取 [擴大 (App Service 方案)]。

    Web 應用程式功能表 [設定] 區段並已選取 [擴大 (App Service 方案)] 的螢幕擷取畫面。

  2. 請確定您的 Web 應用程式不在 F1D1 層中,這些階層不支援自訂 TLS/SSL。

  3. 如果您需要擴大,請遵循下一節中的步驟來進行。 否則,請關閉 [擴大] 頁面,並略過擴大 App Service 方案一節。

擴大您的 App Service 方案

  1. 選取任何非免費層,例如 B1B2B3生產類別中的任何一層。

  2. 完成後,請選取 [選取]。

    出現下列訊息時,表示調整作業已完成。

    擴大作業完成訊息的螢幕擷取畫面。

建立免費的受控憑證

免費 App Service 受控憑證為現成的解決方案,可在 App Service 中保護您的自訂 DNS 名稱。 不需要您採取任何動作,此 TLS/SSL 伺服器憑證完全由 App Service 管理,只要設定的必要條件維持不變,則在到期前的 45 天會以六個月為單位持續自動更新。 所有相關聯的繫結都隨著更新的憑證而更新。 您只要建立憑證並繫結至自訂網域,其餘工作就交給 App Service。

重要

建立免費的受控憑證之前,請確定應用程式已符合必要條件

免費憑證由 DigiCert 所發行。 針對某些網域,您必須建立值為 0 issue digicert.comCAA 網域記錄,以明確允許 DigiCert 作為憑證簽發者。

Azure 會代表您完全管理憑證,因此可以隨時變更受控憑證的任何層面,包括根憑證簽發者。 這些變更不在您的控制範圍內。 請務必避免硬式相依性,以及將練習憑證「釘選」到受控憑證或憑證階層的任何部分。 如果您需要憑證釘選行為,請使用本文的任何其他可用方法,將憑證新增至自訂網域。

此免費憑證有下列限制:

  • 不支援萬用字元憑證。
  • 不支援使用憑證指紋作為用戶端憑證 (已規劃取代和移除)。
  • 不支援私人 DNS。
  • 不可匯出。
  • 在 App Service 環境 (ASE) 中不支援。
  • 僅支援英數位元、虛線 (-) 及句號 (.)。
  • A 記錄必須指向 Web 應用程式的 IP 位址。
  • 無法公開存取的應用程式不支援。
  • 在與流量管理員整合的根網域上不支援。
  • 必須符合以上所有條件,才能成功發行和更新憑證。

  1. Azure 入口網站中,從左側功能表選取 [應用程式服務]><app-name>>

  2. 在應用程式的導覽功能表上,選取 [TLS/SSL 設定]。 在開啟的窗格上,選取 [私密金鑰憑證 (.pfx)]>[建立 App Service 受控憑證]。

    應用程式功能表的螢幕擷取畫面,其中已選取 [TLS/SSL 設定]、[私密金鑰憑證 (.pfx)] 和 [建立 App Service 受控憑證]。

  3. 選取免費憑證的自訂網域,然後選取 [建立]。 您只能為每個支援的自訂網域建立一個憑證。

    當作業完成時,憑證會出現在 [私密金鑰憑證] 清單中。

    [私密金鑰憑證] 窗格的螢幕擷取畫面,其中列出新建立的憑證。

  4. 若要使用此憑證保護自訂網域,您仍然必須建立憑證繫結。 請遵循在Azure App 服務 中使用 TLS/SSL 系結保護自訂 DNS 名稱中的步驟。

購買並匯入 App Service 憑證

如果您從 Azure 購買 App Service 憑證,Azure 會管理下列工作:

  • 處理向 GoDaddy 的購買流程。
  • 執行憑證的網域驗證。
  • 維護 Azure Key Vault 中的憑證。
  • 管理憑證更新
  • 自動將憑證與 App Service 應用程式中已匯入的複本同步。

若要購買 App Service 憑證,請前往開始訂購憑證

注意

目前,Azure 國家雲端不支援 App Service 憑證。

如果您已具備有效的 App Service 憑證,您可以完成下列工作:

開始購買憑證

  1. 前往 App Service 憑證建立頁面,並開始購買 App Service 憑證。

    注意

    在本文中,所有顯示的價格僅供範例。

    從 Azure 購買的 App Service 憑證是由 GoDaddy 所簽發。 針對某些網域,您必須建立值為 0 issue godaddy.comCAA 網域記錄,以明確允許 GoDaddy 作為憑證簽發者。

    [建立 App Service 憑證] 窗格的螢幕擷取畫面,其中包含購買選項。

  2. 為了協助您設定憑證,請使用下表。 當您完成時,選取 [建立]。

    設定 描述
    訂用帳戶 要與憑證建立關聯的 Azure 訂閱。
    資源群組 會包含憑證的資源群組。 您可以建立新的資源群組,或選取相同的資源群組作為您的 App Service 應用程式。
    SKU 決定要建立的憑證類型:標準憑證或萬用字元憑證
    裸網域主機名稱 指定根網域。 根網域和 www 子網域受到發行憑證的保護。 在發行的憑證中,[通用名稱] 欄位會指定根網域,而 [主體別名] 欄位會指定 www 網域。 若只要保護所有子網域,請指定子網域的完整網域名稱,例如 mysubdomain.contoso.com
    憑證名稱 App Service 憑證的易記名稱。
    啟用自動更新 選擇是否要自動在到期前更新憑證。 每次更新會將憑證期限延長一年,並向訂用帳戶收費。

將憑證儲存在 Azure Key Vault 中

Key Vault 是一項 Azure 服務,可協助保護雲端應用程式和服務所使用的密碼編譯金鑰和祕密。 針對 App Service 憑證,儲存體選擇是 Key Vault。 完成憑證購買程式之後,您必須先完成幾個步驟,才能開始使用此憑證。

  1. App Service 憑證頁面上,選取憑證。 在憑證功能表上,選取 [憑證設定]>[步驟 1:儲存]。

    [憑證設定] 窗格的螢幕擷取畫面,其中已選取 [步驟 1:儲存]。

  2. 在 [Key Vault 狀態] 頁面上,若要建立新的保存庫或選擇現有的保存庫,請選取 [Key Vault 存放庫]。

  3. 如果您建立新的保存庫,請根據下表設定保存庫,並確定使用與您 App Service 應用程式相同的訂閱和資源群組。 當您完成時,選取 [建立]。

    設定 描述
    名稱 只使用英數字元和虛線的唯一名稱。
    資源群組 建議使用:與您 App Service 憑證相同的資源群組。
    位置 與您 App Service 應用程式相同的位置。
    定價層 如需詳細資訊,請參閱 Azure Key Vault 定價詳細資料
    存取原則 定義應用程式以及允許的保存庫資源存取權。 您可以稍後遵循指派 Key Vault 存取原則中的步驟來設定這些原則。 目前,App Service 憑證僅支援 Key Vault 存取原則,不支援 RBAC 模型。
    虛擬網路存取 限制某些 Azure 虛擬網路的保存庫存取權。 您可以稍後遵循設定 Azure Key Vault 防火牆和虛擬網路中的步驟來設定此限制

  4. 選取保存庫之後,請關閉 [Key Vault 存放庫] 頁面。 [步驟 1:儲存] 選項應該會顯示綠色核取記號來表示成功。 讓頁面保持開啟,以供下一個步驟使用。

確認網域擁有權

  1. 從上一節中的相同 [憑證設定] 頁面,選取 [步驟 2:驗證]。

    [憑證設定] 窗格的螢幕擷取畫面,其中已選取 [步驟 2:驗證]。

  2. 選取 [App Service 驗證]。 不過,由於您先前已根據必要條件將網域對應至 Web 應用程式,因此網域已經過驗證。 若要完成此步驟,只要選取 [驗證],然後選取 [重新整理],直到 [憑證已經過網域驗證] 訊息出現為止。

支援下列網域驗證方法:

方法 描述
App Service 當網域已對應至相同訂閱中的 App Service 應用程式時,這是最方便的選項,因為 App Service 應用程式已驗證網域擁有權。 請檢閱確認網域擁有權中的最後一個步驟。
網域 確認您購自 Azure 的 App Service 網域。 Azure 會自動為您新增驗證 TXT 記錄並完成程序。
郵件 將電子郵件傳送給網域系統管理員來確認網域。 當您選取此選項時,系統會提供指示。
手動 使用 DNS TXT 記錄或 HTML 網頁 (僅適用於標準憑證,如以下附註所示) 確認網域。 選取此選項之後,系統會提供步驟。 HTML 網頁選項不適用於已啟用 [僅限 HTTPS] 的 Web 應用程式。

重要

若為標準憑證,憑證提供者會針對所要求的頂層網域「及」其 www 子網域 (例如 contoso.comwww.contoso.com),提供憑證給您。 不過,從 2021 年 12 月 1 日開始,App Service手動驗證方法會受到限制。 若要確認網域擁有權,這兩者都會使用 HTML 網頁驗證。 此方法不允許憑證提供者在發行憑證、重設憑證的金鑰或更新憑證時包含 www 子網域。

不過,網域郵件驗證方法會持續在憑證中包含 www 子網域和所要求的頂層網域。

將憑證匯入至 App Service

  1. Azure 入口網站中,從左側功能表選取 [應用程式服務]><app-name>>

  2. 從應用程式的導覽功能表,選取 [TLS/SSL 設定]>[私密金鑰憑證 (.pfx)]>[匯入 App Service 憑證]。

    應用程式功能表的螢幕擷取畫面,其中已選取 [TLS/SSL 設定]、[私密金鑰憑證 (.pfx)] 和 [匯入 App Service 憑證]。

  3. 選取您剛剛購買的憑證,然後選取 [確定]。

    當作業完成時,憑證會出現在 [私密金鑰憑證] 清單中。

    [私密金鑰憑證] 窗格的螢幕擷取畫面,其中列出購買的憑證。

  4. 若要使用此憑證保護自訂網域,您仍然必須建立憑證繫結。 請遵循在Azure App 服務 中使用 TLS/SSL 系結保護自訂 DNS 名稱中的步驟。

從金鑰保存庫匯入憑證

如果您使用 Azure Key Vault 管理憑證,則可以在符合需求時,將 PKCS12 憑證從 Key Vault 匯入到 App Service。

授權 App Service 從保存庫讀取

根據預設,App Service 資源提供者無法存取您的金鑰保存庫。 若要使用金鑰保存庫進行憑證部署,您必須 授權資源提供者對金鑰保存庫的讀取權限

注意

目前,Key Vault 憑證僅支援 Key Vault 存取原則,不支援 RBAC 模型。

資源提供者 服務主體 AppId 金鑰保存庫祕密權限 金鑰保存庫憑證權限
Microsoft Azure App ServiceMicrosoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd,所有 Azure 訂閱都相同

- 針對 Azure Government 雲端環境,請使用 6a02c803-dafd-4136-b4c3-5a6f318b4714		 Get Get
Microsoft.Azure.CertificateRegistration Get
清單
設定
刪除		 Get
清單

將憑證從您的保存庫匯入到您的應用程式

  1. Azure 入口網站的左側功能表中,選取 [應用程式服務]><app-name>。

  2. 從應用程式的導覽功能表,選取 [TLS/SSL 設定]>[私密金鑰憑證 (.pfx)]>[匯入 Key Vault 憑證]。

    已選取 [TLS/SSL 設定]、[私密金鑰憑證 (.pfx)] 和 [匯入 Key Vault 憑證] 的螢幕擷取畫面。

  3. 為了協助您選取憑證,請使用下表:

    設定 描述
    訂用帳戶 與金鑰保存庫相關聯的訂閱。
    金鑰保存庫 具有您想要匯入之憑證的金鑰保存庫。
    [MSSQLSERVER 的通訊協定內容] 從此清單,選取位於保存庫中的 PKCS12 憑證。 保存庫中所有的 PKCS12 憑證會連同其指紋一併列出,但在 App Service 中並非皆受到支援。

    當作業完成時,憑證會出現在 [私密金鑰憑證] 清單中。 如果匯入失敗並發生錯誤,則表示憑證不符合 App Service 的需求

    [私密金鑰憑證] 窗格的螢幕擷取畫面,其中列出匯入的憑證。

    注意

    如果您以新憑證更新 Key Vault 中的憑證,App Service 會在 24 小時內自動同步憑證。

  4. 若要使用此憑證保護自訂網域,您仍然必須建立憑證繫結。 請遵循在Azure App 服務 中使用 TLS/SSL 系結保護自訂 DNS 名稱中的步驟。

上傳私人憑證

從憑證提供者取得憑證之後,請遵循本節中的步驟,讓憑證可用於 App Service。

合併中繼憑證

如果您的憑證授權單位單位在憑證鏈結中提供多個憑證,您必須遵循相同的順序合併憑證。

  1. 在文字編輯器中,開啟每個收到的憑證。

  2. 若要儲存合併的憑證,請建立名為 mergedcertificate.crt 的檔案。

  3. 將每個憑證的內容複製到這個檔案中。 請務必遵循憑證鏈結所指定的憑證順序,從您的憑證開始,並以根憑證結尾,例如:

    -----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

將合併的私人憑證匯出至 PFX

現在,您可以透過用來產生憑證要求的私密金鑰,匯出合併的 TLS/SSL 憑證。 如果您是使用 OpenSSL 產生憑證要求,則已建立私密金鑰檔案。

注意

OpenSSL v3 會在 X.509 規格允許時,建立 20 個 8 位元 (40 個字元) 的憑證序列。 上傳憑證 PFX 檔案時,目前僅支援 10 個 8 位元 (20 個字元)。 OpenSSL v3 也會將預設加密方式從 3DES 變更為 AES256,但可以在命令列上覆寫。 OpenSSL v1 使用 3DES 做為預設值,而且只會在序列中使用 8 個 8 位元 (16 個字元),因此不需要進行任何特殊修改,系統即可支援所產生的 PFX 檔案。

  1. 若要將憑證匯出至 PFX 檔案,請執行下列命令,但以私密金鑰與合併的憑證檔案路徑來取代預留位置 <private-key-file><merged-certificate-file>

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

  2. 出現提示時,請指定匯出作業的密碼。 當您稍後將 TLS/SSL 憑證上傳至App Service時,您必須提供此密碼。

  3. 如果您使用 IIS 或 Certreq.exe 產生憑證要求,請將憑證安裝至本機電腦,然後將憑證匯出至 PFX 檔案

上傳憑證至 App Service

您現在已準備好將憑證上傳至 App Service。

  1. Azure 入口網站中,從左側功能表選取 [應用程式服務]><app-name>>

  2. 從應用程式的導覽功能表,選取 [TLS/SSL 設定]>[私密金鑰憑證 (.pfx)]>[上傳憑證]。

    已選取 [TLS/SSL 設定]、[私密金鑰憑證 (.pfx)]、[上傳憑證] 的螢幕擷取畫面。

  3. 在 [PFX 憑證檔案] 中,選取您的 PFX 檔案。 在 [憑證密碼] 中,輸入您將 PFX 檔案匯出時所建立的密碼。 完成時,請選取 [上傳]。

    當作業完成時,憑證會出現在 [私密金鑰憑證] 清單中。

    [私密金鑰憑證] 窗格的螢幕擷取畫面,其中列出上傳的憑證。

  4. 若要使用此憑證保護自訂網域,您仍然必須建立憑證繫結。 請遵循在Azure App 服務 中使用 TLS/SSL 系結保護自訂 DNS 名稱中的步驟。

上傳公開憑證

公開憑證支援 .cer 格式。

  1. Azure 入口網站中,從左側功能表選取 [應用程式服務]><app-name>>

  2. 從應用程式的導覽功能表,選取 [TLS/SSL 設定]>[公開憑證 (.cer)]>[上傳公開金鑰憑證]。

  3. 針對 [名稱],輸入憑證的名稱。 在 [CER 憑證檔案] 中,選取您的 CER 檔案。 完成時,請選取 [上傳]。

    要上傳之公開金鑰憑證名稱的螢幕擷取畫面。

  4. 上傳憑證之後,請複製憑證指紋,然後檢閱使憑證可供存取

更新即將到期的憑證

請務必在憑證到期之前,將更新的憑證新增至App Service,並更新其流程相依於憑證類型的任何 TLS/SSL 繫結。 例如,從 Key Vault 匯入的憑證 (包括 App Service 憑證) 每 24 小時自動同步至 App Service,並在您更新憑證時更新 TLS/SSL 繫結。 對於上傳的憑證,不會自動更新繫結。 根據您的案例,檢閱對應的章節:

更新上傳的憑證

取代即將到期的憑證時,您以新憑證更新憑證繫結的方式,可能對使用者體驗造成負面影響。 例如,刪除繫結時,即使該繫結以 IP 為基礎,輸入 IP 位址仍有可能變更。 當您更新已在以 IP 為基礎之繫結中的憑證時,此結果的影響會特別高。 為了避免應用程式的 IP 位址變更,並避免應用程式因為 HTTPS 錯誤而當掉,請依指定順序遵循下列步驟:

  1. 上傳新憑證

  2. 將新憑證繫結至相同的自訂網域,而不刪除現有即將到期的憑證。 若要執行此工作,請前往您 App Service 應用程式的 [TLS/SSL 設定] 窗格,然後選取 [新增繫結]。

    此動作會取代繫結,而不會移除現有的憑證繫結。

  3. 刪除現有的憑證。

更新 App Service 憑證

App Service 憑證的有效期間預設為一年。 您可以在即將到期之前,以一年為單位手動更新 App Service 憑證。 更新流程實際上會為您提供新的 App Service 憑證,到期日從現有憑證的到期日延長至一年。

注意

從 2021 年 9 月 23 日開始,如果您在過去 395 天內未驗證網域,則 App Service 憑證在更新或重設金鑰過程中需要網域驗證。 在更新或重設金鑰過程中,新的憑證訂單仍會處於「發行待決」模式,直到您完成網域驗證為止。

不同於 App Service 受控憑證,App Service 憑證「不會」自動重新驗證網域。 無法驗證網域擁有權會導致更新失敗。 如需如何驗證 App Service 憑證的詳細資訊,請參閱確認網域擁有權

更新流程要求 App Service 的已知服務主體具有金鑰保存庫的必要權限。 當您透過 Azure 入口網站匯入 App Service 憑證時,系統會為您設定這些權限。 請確定您不會從金鑰保存庫中移除這些權限。

  1. 若要隨時變更 App Service 憑證的自動更新設定,請在 App Service 憑證頁面上選取憑證。

  2. 在左側功能表上,選取 [自動更新設定]。

  3. 選取 [開啟] 或 [關閉],然後選取 [儲存]。

    如果您開啟自動更新,則憑證可以在到期前的 32 天開始自動更新。

    指定憑證的自動更新設定螢幕擷取畫面。

  4. 若要改為手動更新憑證,請選取 [手動更新]。 您可以在過期前的 60 天要求手動更新憑證。

  5. 更新作業完成後,請選取 [同步]。

    同步作業會自動更新 App Service 中憑證的主機名稱繫結,而不會對您的應用程式造成任何停機。

    注意

    如果您未選取 [同步],則 App Service 會在 24 小時內自動同步憑證。

更新從 Key Vault 匯入的憑證

若要更新您從 Key Vault 匯入至 App Service 的憑證,請檢閱更新 Azure App Service 憑證

在金鑰保存庫中更新憑證之後,App Service 會在 24 小時內自動同步新的憑證,並更新任何適用的 TLS/SSL 繫結。 若要手動同步,請遵循下列步驟:

  1. 移至應用程式的 [TLS/SSL 設定] 頁面。

  2. 在 [私密金鑰憑證] 下,選取匯入的憑證,然後選取 [同步]。

管理 App Service 憑證

本節包含可協助您管理所購買 App Service 憑證的工作連結:

重設 App Service 憑證的金鑰

如果您認為您憑證的私密金鑰遭到入侵,您可以重設憑證的金鑰。 此動作會以憑證授權單位發行的新憑證來變換憑證。

  1. App Service 憑證頁面上,選取憑證。 從左側功能表,選取 [重設金鑰與同步]。

  2. 若要啟動此程序,請選取 [重設金鑰]。 此程序需要 1 - 10 分鐘才能完成。

    重設 App Service 憑證金鑰的螢幕擷取畫面。

  3. 您可能也需要重新確認網域擁有權

  4. 重設金鑰作業完成後,請選取 [同步]。

    同步作業會自動更新 App Service 中憑證的主機名稱繫結,而不會對您的應用程式造成任何停機。

    注意

    如果您未選取 [同步],則 App Service 會在 24 小時內自動同步憑證。

匯出 App Service 憑證

由於 App Service 憑證是 Key Vault 祕密,因此您可以將複本匯出為 PFX 檔案,以便在其他 Azure 服務中或 Azure 外部使用。

重要

匯出的憑證為非受控成品。 更新 App Service 憑證時,App Service 不會同步這類成品。 您必須匯出更新的憑證並安裝在所需之處。

  1. App Service 憑證頁面上,選取憑證。

  2. 在左側功能表上,選取 [匯出憑證]。

  3. 選取 [在 Key Vault 中開啟]。

  4. 選取憑證的目前版本。

  5. 選取 [下載為憑證]。

下載的 PFX 檔案是原始 PKCS12 檔案,其中包含公開和私人憑證,而其匯入密碼是空字串。 您可以透過將密碼欄位保留空白,在本機安裝檔案。 您無法將檔案依原狀上傳至 App Service,因為檔案未受密碼保護

刪除 App Service 憑證

如果您刪除 App Service 憑證,則刪除作業會是無法復原的最終結果。 這會導致憑證遭到撤銷,而 App Service 中任何使用此憑證的繫結都會變成無效。

為了防止意外刪除,Azure 會鎖定 App Service 憑證。 因此,若要刪除憑證,您必須先移除憑證上的刪除鎖定。

  1. App Service 憑證頁面上,選取憑證。

  2. 在左側功能表上,選取 [鎖定]。

  3. 在您的憑證上,尋找鎖定類型名稱為 [刪除] 的鎖定。 選取右側的 [刪除]。

    刪除 App Service 憑證鎖定的螢幕擷取畫面。

  4. 現在,您可以刪除 App Service 憑證。 從左側功能表,選取 [概觀]>[刪除]。

  5. 當確認方塊開啟時,請輸入憑證名稱,然後選取 [確定]。

使用指令碼進行自動化

Azure CLI

將自訂 TLS/SSL 憑證繫結至 Web 應用程式

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

其他資源