Erstellen und Verwalten eines App Service-Zertifikats für Ihre Web-App

Dieser Artikel zeigt, wie Sie ein App Service-Zertifikat erstellen und Verwaltungsaufgaben wie Erneuern, Synchronisieren und Löschen von Zertifikaten ausführen. Sobald Sie über ein App Service-Zertifikat verfügen, können Sie es in eine App Service-App importieren. Ein App Service-Zertifikat ist ein privates Zertifikat, das von Azure verwaltet wird. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen.

Wenn Sie ein App Service-Zertifikat von Azure erwerben, verwaltet Azure die folgenden Aufgaben:

• Abwickeln des Kaufs von GoDaddy.
• Ausführen der Domänenüberprüfung des Zertifikats
• Speichern des Zertifikats in Azure Key Vault
• Verwalten der Zertifikatverlängerung.
• Automatisches Synchronisieren des Zertifikats mit den importierten Kopien in App Service-Apps.

Hinweis

Nachdem Sie ein Zertifikat in eine App hochgeladen haben, wird es in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe, Region und Betriebssystem des App Service-Plans (intern als Webspace bezeichnet) gebunden ist. Dadurch wird das Zertifikat für andere Apps in derselben Kombination aus Ressourcengruppe und Region zugänglich. In App Service hochgeladene oder importierte Zertifikate werden in derselben Bereitstellungseinheit gemeinsam mit App Services genutzt.

Voraussetzungen

• Erstellen Sie eine App Service-App. Der App Service-Plan der App muss sich in der Dienstebene Basic, Standard, Premium oder Isoliert befinden. Informationen zum Aktualisieren des Tarifs finden Sie unter Hochskalieren einer App.

Hinweis

Derzeit werden App Service-Zertifikate in nationalen Azure-Clouds nicht unterstützt.

Kaufen und Konfigurieren eines App Service-Zertifikats

Kaufen des Zertifikats

1. Wechseln Sie zur Seite „App Service-Zertifikat erstellen“, um den Kauf zu starten.

   Hinweis

   Von Azure erworbene App Service-Zertifikate werden von GoDaddy ausgestellt. Bei einigen Domänen müssen Sie GoDaddy explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem Wert 0 issue godaddy.com erstellen.

   

2. Verwenden Sie die folgende Tabelle, um das Zertifikat zu konfigurieren. Wenn Sie fertig sind, wählen Sie Überprüfen + Erstellen und dann Erstellen aus.

   Einstellung	Beschreibung
   Abonnement	Das Azure-Abonnement, das dem Zertifikat zugeordnet werden soll.
   Ressourcengruppe	Die Ressourcengruppe, die das Zertifikat enthält Sie können entweder eine neue Ressourcengruppe erstellen oder dieselbe Ressourcengruppe wie die Ihrer App Service-App auswählen.
   SKU	Bestimmt den Typ des zu erstellenden Zertifikats, entweder ein Standardzertifikat oder ein Platzhalterzertifikat.
   Nackter Domänenhostname	Geben Sie die Stammdomäne an. Das ausgestellte Zertifikat bietet Sicherheit sowohl für die Stammdomäne als auch für die www-Unterdomäne. Im ausgestellten Zertifikat gibt das Feld Allgemeiner Name die Stammdomäne an, und das Feld Alternativer Antragstellername gibt die www-Domäne an. Geben Sie zum Bereitstellen der Sicherheit nur für eine Unterdomäne den vollqualifizierten Domänennamen für die Unterdomäne an, z. B. mysubdomain.contoso.com.
   Zertifikatsname	Der Anzeigename für Ihr App Service-Zertifikat.
   Aktivieren der automatischen  Verlängerung	Wählen Sie aus, ob das Zertifikat vor Ablauf automatisch verlängert werden soll. Jede Verlängerung verlängert den Ablauf des Zertifikats um ein Jahr. Die Kosten werden Ihrem Abonnement in Rechnung gestellt.

3. Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

Speichern des Zertifikats in Azure Key Vault

Key Vault ist ein Azure-Dienst zum Schutz von kryptografischen Schlüsseln und Geheimnissen, die von Cloudanwendungen und -diensten verwendet werden. Für App Service-Zertifikate wird empfohlen, Key Vault zu verwenden. Sobald der Zertifikatskaufvorgang abgeschlossen ist, müssen Sie noch einige weitere Schritte ausführen, bevor Sie mit der Verwendung des Zertifikats beginnen.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus. Wählen Sie im Zertifikatmenü Zertifikatkonfiguration>Schritt 1: Speichern aus.

   

2. Wählen Sie auf der Seite Key Vault Status die Option Aus Key Vault auswählen aus.

3. Wenn Sie einen neuen Tresor erstellen, richten Sie den Tresor basierend auf der folgenden Tabelle ein, und stellen Sie sicher, dass Sie dasselbe Abonnement und dieselbe Ressourcengruppe wie die Ihrer App Service-App verwenden.

   Einstellung	BESCHREIBUNG
   Ressourcengruppe	Empfohlen: Dieselbe Ressourcengruppe wie bei Ihrem App Service-Zertifikat.
   Name des Schlüsseltresors	Ein eindeutiger Name, der nur aus alphanumerischen Zeichen und Bindestrichen besteht.
   Region	Derselbe Speicherort wie bei Ihrer App Service-App.
   Preisstufe	Weitere Informationen finden Sie unter Key Vault – Preise.
   Aufbewahrungsdauer für gelöschte Tresore in Tagen	Die Anzahl der Tage nach dem Löschen, während denen die Objekte wiederherstellbar bleiben. (Siehe Übersicht über vorläufiges Löschen in Azure Key Vault.) Legen Sie einen Wert zwischen 7 und 90 fest.
   Bereinigungsschutz	Wenn Sie diese Option aktivieren, bleiben alle gelöschten Objekte für die gesamte Dauer des Aufbewahrungszeitraums im vorläufig gelöschten Zustand.

4. Wählen Sie Weiter und dann Tresorzugriffsrichtlinie aus. Derzeit unterstützen App Service-Zertifikate nur Key Vault-Zugriffsrichtlinien, aber nicht das RBAC-Modell.

5. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

6. Nachdem der Schlüsseltresor erstellt wurde, wählen Sie nicht Zur Ressource wechseln aus. Warten Sie, bis die Seite Schlüsseltresor aus Azure Key Vault auswählen neu geladen wird.

7. Wählen Sie Auswählen.

8. Nachdem Sie den Tresor ausgewählt haben, schließen Sie die Seite Key Vault-Repository. Die Option Schritt 1: Speichern sollte ein grünes Häkchen für eine erfolgreiche Ausführung anzeigen. Lassen Sie die Seite für den nächsten Schritt geöffnet.

Bestätigen des Domänenbesitzes

1. Wählen Sie auf derselben Seite Zertifikatkonfiguration aus dem vorherigen Abschnitt die Option Schritt 2: Überprüfen aus.

   

2. Klicken Sie auf App Service-Überprüfung. Da Sie die Domäne ihrer Web-App weiter oben in diesem Abschnitt zugeordnet haben, ist die Domäne bereits überprüft. Um diesen Schritt abzuschließen, wählen Sie einfach Überprüfen aus, und wählen Sie dann Aktualisieren aus, bis die Meldung Zertifikatdomäne wurde überprüft angezeigt wird.

Die folgenden Methoden der Domänenüberprüfung werden unterstützt:

Methode	Beschreibung
App Service-Überprüfung	Die bequemste Option, wenn die Domäne bereits einer App Service-App im gleichen Abonnement zugeordnet ist, weil die App Service-App den Domänenbesitz bereits überprüft hat. Überprüfen Sie den letzten Schritt in Bestätigen des Domänenbesitzes.
Domänenüberprüfung	Mit dieser Option wird eine App Service-Domäne bestätigt, die Sie von Azure erworben haben. Azure fügt die TXT-Überprüfungseinträge automatisch für Sie hinzu und schließt den Vorgang ab.
Überprüfungs-E-Mail	Mit dieser Option wird die Domäne bestätigt, indem eine E-Mail an den Domänenadministrator gesendet wird. Anweisungen werden bei Auswahl der Option bereitgestellt.
Manuelle Überprüfung	Bestätigen Sie die Domäne mithilfe eines DNS-TXT-Eintrags oder einer HTML-Seite. (Letzteres gilt nur für Zertifikate der Ebene „Standard“. Beachten Sie den folgenden Hinweis.) Die Schritte werden bereitgestellt, nachdem Sie die Option ausgewählt haben. Die Option „HTML-Seite“ funktioniert nicht für Web-Apps, für welche die Option Nur HTTPS aktiviert ist. Für die Domänenüberprüfung über den DNS-TXT-Eintrag entweder für die Stammdomäne (beispielsweise contoso.com) oder die Unterdomäne (beispielsweise www.contoso.com oder test.api.contoso.com) und unabhängig von der Zertifikats-SKU müssen Sie einen TXT-Eintrag auf der Ebene der Stammdomäne mithilfe von @ für den Namen und das Domänenüberprüfungstoken für den Wert in Ihrem DNS-Eintrag hinzufügen.

Wichtig

Mit dem Zertifikat der Ebene „Standard“ erhalten Sie ein Zertifikat für die angeforderte Domäne der obersten Ebene und die Unterdomäne www, beispielsweise contoso.com und www.contoso.com. Die App Service-Überprüfung und die manuelle Überprüfung verwenden jedoch die HTML-Seitenüberprüfung, welche die Unterdomäne www nicht unterstützt, wenn Sie ein Zertifikat ausstellen, erneut eingeben oder verlängern. Verwenden Sie für das Zertifikat der Ebene „Standard“ die Domänenüberprüfung und die E-Mail-Überprüfung, um die Unterdomäne www mit der angeforderten Domäne der obersten Ebene in das Zertifikat aufzunehmen.

Sobald Ihr Zertifikat domänenseitig überprüft wurde, können Sie es in eine App Service-App importieren.

Verlängern eines App Service-Zertifikats

Standardmäßig haben App Service-Zertifikate eine Gültigkeitsdauer von einem Jahr. Vor dem Ablaufdatum können Sie App Service-Zertifikate automatisch oder manuell in 1-Jahres-Schritten verlängern. Durch den Erneuerungsprozess erhalten Sie effektiv ein neues App Service-Zertifikat, dessen Gültigkeitsdauer um ein Jahr ab dem Ablaufdatum des bestehenden Zertifikats verlängert ist.

Hinweis

Ab dem 23. September 2021 erfordern App Service-Zertifikate eine Domänenüberprüfung während einer Verlängerung, einer automatischen Verlängerung oder der erneuten Schlüsselerstellung, wenn Sie die Domäne in den letzten 395 Tagen nicht überprüft haben. Die neue Zertifikatreihenfolge verbleibt während der Verlängerung, automatischen Verlängerung oder erneuten Schlüsselerstellung im Modus „Ausstellung ausstehend“, bis Sie die Domänenüberprüfung abgeschlossen haben.

Im Gegensatz zum kostenlosen verwalteten App Service-Zertifikat verfügen erworbene App Service-Zertifikate nicht über eine automatische erneute Überprüfung der Domäne. Wird der Domänenbesitz nicht überprüft, führt dies zum Fehlschlagen von Verlängerungen. Weitere Informationen zum Überprüfen Ihres App Service-Zertifikats finden Sie unter Bestätigen des Domänenbesitzes.

Der Verlängerungsprozess erfordert, dass der Dienstprinzipal für App Service über die erforderlichen Berechtigungen für Ihren Schlüsseltresor verfügt. Diese Berechtigungen werden für Sie eingerichtet, wenn Sie ein App Service-Zertifikat über das Azure-Portal importieren. Stellen Sie sicher, dass Sie diese Berechtigungen nicht aus Ihrem Schlüsseltresor entfernen.

1. Um die Einstellung für die automatische Verlängerung Ihres App Service-Zertifikats jederzeit zu ändern, wählen Sie auf der Seite „App Service-Zertifikate“ das Zertifikat aus.

2. Wählen Sie im linken Menü Einstellungen für die automatische Verlängerung aus.

3. Wählen Sie Ein oder Aus aus und dann Speichern.

   Wenn Sie die automatische Verlängerung aktivieren, können Zertifikate 32 Tage vor Ablauf mit der automatischen Verlängerung beginnen.

   

4. Um das Zertifikat stattdessen manuell zu verlängern, wählen Sie Manuelle Verlängerung aus. Sie können anfordern, Ihr Zertifikat 60 Tage vor Ablauf manuell zu verlängern, aber Zertifikate können nicht für länger als 397 Tage ausgestellt werden.

5. Nach Abschluss des Verlängerungsvorgangs wählen Sie Synchronisieren aus.

   Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

   Hinweis

   Wenn Sie Synchronisieren nicht auswählen, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Erstellen neuer Schlüssel für ein App Service-Zertifikat

Wenn Sie vermuten, das der private Schlüssel Ihres Zertifikats gefährdet ist, können Sie neue Schlüssel für das Zertifikat erstellen. Diese Aktion ersetzt das Zertifikat durch ein neues Zertifikat, das von der Zertifizierungsstelle ausgegeben wird.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus. Wählen Sie im linken Menü Erstellung neuer Schlüssel und Synchronisierung aus.

2. Um den Prozess zu starten, wählen Sie Neue Schlüssel erstellen aus. Dieser Prozess kann 1 bis 10 Minuten in Anspruch nehmen.

   

3. Möglicherweise müssen Sie auch den Domänenbesitz erneut bestätigen.

4. Nach Abschluss der erneuten Schlüsselerstellung wählen Sie Synchronisieren aus.

   Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

   Hinweis

   Wenn Sie Synchronisieren nicht auswählen, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Exportieren eines App Service-Zertifikats

Da es sich bei einem App Service-Zertifikat um ein Key Vault-Geheimnis handelt, können Sie eine Kopie davon als PFX-Datei exportieren, die Sie für andere Azure-Dienste oder außerhalb von Azure verwenden können.

Wichtig

Das exportierte Zertifikat ist ein nicht verwaltetes Artefakt. App Service synchronisiert solche Artefakte nicht, wenn das App Service-Zertifikat verlängert wird. Sie müssen das verlängerte Zertifikat exportieren und dort installieren, wo Sie es benötigen.

Azure portal

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus.

2. Wählen Sie im linken Menü Zertifikat exportieren aus.

3. Wählen Sie Key Vault-Geheimnis öffnen aus.

4. Wählen Sie die aktuelle Version des Zertifikats aus.

5. Wählen Sie Als Zertifikat herunterladen aus.

Azure-Befehlszeilenschnittstelle

Führen Sie die folgenden Befehle in Azure Cloud Shell aus, oder führen Sie diese lokal aus, wenn Sie Azure CLI installiert haben. Ersetzen Sie die Platzhalter durch die Namen, die Sie beim Kauf des App Service-Zertifikats verwendet haben.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Die heruntergeladene PFX-Datei ist eine unformatierte PKCS12-Datei, die sowohl das öffentliche als auch das private Zertifikat enthält sowie ein Importkennwort, bei dem es sich um eine leere Zeichenfolge handelt. Sie können die Datei lokal installieren, indem Sie das Feld für das Kennwort leer lassen. Sie können die Datei nicht unverändert in App Service hochladen, weil die Datei nicht kennwortgeschützt ist.

Verwenden von Azure Advisor für App Service-Zertifikat

Das App Service-Zertifikat ist in Azure Advisor integriert, um Zuverlässigkeitsempfehlungen bereitzustellen, wenn Ihr Zertifikat eine Domänenüberprüfung erfordert. Sie müssen den Domänenbesitz für Ihr Zertifikat während der Verlängerung, automatischen Verlängerung oder erneuten Schlüsselerstellung überprüfen, wenn Sie die Domäne in den letzten 395 Tagen nicht überprüft haben. Um sicherzustellen, dass Sie kein Zertifikat vergessen, das eine Überprüfung erfordert, oder dass kein Zertifikat abläuft, können Sie Azure Advisor nutzen, um Warnungen für das App Service-Zertifikat anzuzeigen und einzurichten.

Anzeigen einer Advisor-Empfehlungen

So zeigen Sie eine Advisor-Empfehlung für das App Service-Zertifikat an:

1. Navigieren Sie zur Seite „Azure Advisor“.

2. Wählen Sie im linken Menü die Optionen Empfehlungen>Zuverlässigkeit aus

3. Wählen Sie die Filteroption Typ entspricht aus, und suchen Sie in der Dropdownliste nach App Service-Zertifikaten. Wenn der Wert im Dropdownmenü nicht vorhanden ist, bedeutet dies, dass für Ihre App Service-Zertifikatressourcen keine Empfehlung generiert wurde, da keines von ihnen die Überprüfung des Domänenbesitzes erfordert.

Advisor-Warnungen erstellen

Sie [erstellen Azure Advisor-Warnungen für neue Empfehlungen] mithilfe verschiedener Konfigurationen. So richten Sie Advisor-Warnungen speziell für das App Service-Zertifikat ein, damit Sie Benachrichtigungen erhalten können, wenn Ihr Zertifikat eine Überprüfung des Domänenbesitzes erfordert:

1. Navigieren Sie zur Seite „Azure Advisor“.

2. Wählen Sie im linken Menü die Optionen Überwachung>Warnungen (Vorschau) aus

3. Klicken Sie auf + Neue Advisor-Warnung auf der Aktionsleiste oben. Dadurch wird ein neues Blatt mit dem Namen „Advisor-Warnung erstellen“ geöffnet.

4. Wählen Sie unter Bedingung Folgendes aus:

   Konfiguration durch	Empfehlungstyp
   Empfehlungstyp	Domain-Verifizierung für die Ausstellung Ihres App Service Certificate erforderlich

5. Füllen Sie die restlichen erforderlichen Felder aus, und wählen Sie dann unten die Schaltfläche Warnung erstellen aus.

Löschen eines App Service-Zertifikats

Wenn Sie ein App Service-Zertifikat löschen, kann der Löschvorgang nicht mehr rückgängig gemacht werden und ist endgültig. Das Ergebnis ist ein gesperrtes Zertifikat, wodurch jede Bindung in App Service, die dieses Zertifikat verwendet, ungültig wird.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus.

2. Wählen Sie im linken Menü Übersicht>Löschen aus.

3. Wenn das Bestätigungsfeld geöffnet wird, geben Sie den Zertifikatnamen ein, und wählen Sie dann OK aus.

Häufig gestellte Fragen

Mein App Service-Zertifikat hat keinen Wert in Key Vault

Ihr App Service-Zertifikat ist wahrscheinlich noch nicht domänenüberprüft. Bis der Domänenbesitz bestätigt ist, ist Ihr App Service-Zertifikat nicht einsatzbereit. Als Key Vault-Geheimnis behält es ein Initialize-Tag bei, und sein Wert und der Inhaltstyp bleiben leer. Wenn der Domänenbesitz bestätigt wird, zeigt das Schlüsseltresor-Geheimnis einen Wert und einen Inhaltstyp an, und das Tag ändert sich in Ready.

Ich kann mein App Service-Zertifikat nicht mit PowerShell exportieren

Ihr App Service-Zertifikat ist wahrscheinlich noch nicht domänenüberprüft. Bis der Domänenbesitz bestätigt ist, ist Ihr App Service-Zertifikat nicht einsatzbereit.

Welche Änderungen nimmt der Zertifikaterstellungsprozess von App Service an meinem vorhandenen Schlüsseltresor vor?

Beim Erstellungsprozess werden die folgenden Änderungen vorgenommen:

• Fügt zwei Zugriffsrichtlinien im Tresor hinzu:
  • Microsoft.Azure.WebSites (oder Microsoft Azure App Service)
  • CSM-Ressourcenanbieter für Microsoft-Zertifikathändler (oder Microsoft.Azure.CertificateRegistration)
• Erstellt eine Löschsperre mit der Bezeichnung AppServiceCertificateLock auf dem Tresor, um das versehentliche Löschen des Schlüsseltresors zu verhindern.

Zugehöriger Inhalt

• Schützen eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service
• Erzwingen von HTTPS
• Erzwingen von TLS 1.1/1.2
• Verwenden eines TLS-/SSL-Zertifikats in Ihrem Code in Azure App Service
• Häufig gestellte Fragen zum Erstellen oder Löschen von Ressourcen in Azure App Service