設定安全性憑證
Azure App Service 擁有能讓您建立、上傳或匯入私人憑證或公開憑證至 App Service 的工具。
上傳至應用程式的憑證,會儲存在繫結至 App Service 方案資源群組和區域組合 (內部稱為「網路空間」) 的部署單位中。 憑證可供相同資源群組和區域組合中的其他應用程式存取。
下表詳細說明您於 App Service 中擁有可新增憑證的選項:
| 選項 | 描述 |
|---|---|
| 建立免費 App Service 受控憑證 | 如果您只需要保護 App Service 中的自訂網域,則這是您可輕鬆使用的免費私人憑證。 |
| 購買 App Service 憑證 | 由 Azure 管理的私人憑證。 這兼具自動化憑證管理的簡便,以及續約和匯出選項的彈性。 |
| 從 Key Vault 匯入憑證 | 如果您使用 Azure Key Vault 來管理憑證,這會很實用。 |
| 上傳私人憑證 | 如果您已有第三方提供者的私人憑證,可以上傳該憑證。 |
| 上傳公開憑證 | 公開憑證不是用來保護自訂網域,但如果您需要用它們來存取遠端資源,可以將其載入至程式碼。 |
一私人憑證需求
免費 App Service 受控憑證和 App Service 憑證已經符合 App Service 的需求。 如果想要使用 App Service 中的私人憑證,則您的憑證必須符合下列需求:
- 匯出為受密碼保護的 PFX 檔案,並使用三重 DES 來加密。
- 包含至少 2,048 位長的私鑰。
- 包含憑證鏈結中的所有中繼憑證和根憑證。
若要保護 TLS 繫結中的自訂網域,憑證有額外的需求:
- 包含伺服器驗證的擴充金鑰使用方法 (OID = 1.3.6.1.5.5.7.3.1)
- 已由信任的憑證授權單位簽署
建立免費的受控憑證
若要為您的 App Service 應用程式建立自訂 TLS/SSL 繫結或啟用用戶端憑證,則您的 App Service 方案必須位於 [基本]、[標準]、[進階] 或 [隔離] 層。
免費 App Service 受控憑證為現成的解決方案,可在 App Service 中保護您的自訂 DNS 名稱。 這是由 App Service 完全管理的 TLS/SSL 伺服器證書,會在到期前 45 天連續且自動續約六個月。 您可以建立憑證並將其繫結至自訂網域,並讓 App Service 執行其餘作業。
重要
建立免費受控憑證之前,請確定您符合應用程式的必要條件。 免費憑證由 DigiCert 所發行。 對於某些網域,您必須建立值為 0 issue digicert.com 的 CAA 網域記錄,藉以明確允許 DigiCert 作為憑證簽發者。 Azure 會代表您完全管理憑證,因此可以隨時變更受控憑證的任何層面,包括根憑證簽發者。 這些變更不在您的控制範圍內。 請務必避免硬式相依性,以及將練習憑證「釘選」到受控憑證或憑證階層的任何部分。
免費憑證有下列限制:
- 不支援萬用字元憑證。
- 不支援使用憑證指紋作為用戶端憑證的使用方式,此方式已規劃將淘汰和移除。
- 不支援私人 DNS。
- 無法匯出。
- App Service 環境 (ASE) 不支援。
- 僅支援英數字元、連字號 (-) 和句號 (.)。
- 僅支援長度最多 64 個字元的自訂網域。
匯入 App Service 憑證
如果您從 Azure 購買 App Service 憑證,Azure 會管理下列工作:
- 處理憑證提供者的購買流程。
- 執行憑證的網域驗證。
- 維護 Azure Key Vault 中的憑證。
- 管理憑證更新。
- 自動同步憑證與 App Service 應用程式中匯入的複本。
如果您已經有可用的 App Service 憑證,您可以:
- 將憑證匯入至 App Service。
- 管理憑證,例如將憑證更新、重設金鑰和匯出。
注意
目前 Azure 國家雲端不支援 App Service 憑證。