Configuración de certificados de seguridad
Se le ha pedido que ayude a proteger la información que se transmite entre la aplicación de la empresa y el cliente. Azure App Service tiene herramientas que le permiten crear, cargar o importar un certificado privado o un certificado público en App Service.
Los certificados cargados en una aplicación se almacenan en una unidad de implementación enlazada a la combinación de región y grupo de recursos del plan de App Service (que internamente se denomina espacio web). De esta manera, los certificados son accesible para otras aplicaciones de la misma combinación de región y grupo de recursos.
En la tabla siguiente se detallan las opciones que tiene para agregar certificados en App Service:
| Opción | Descripción |
|---|---|
| Crear un certificado administrado de App Service gratuito | Certificado privado que es gratuito y fácil de usar si solo necesita proteger el dominio personalizado en App Service. |
| Compra de un certificado de App Service | Es un certificado privado administrado por Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación. |
| Importación de un certificado de Key Vault | Resulta útil si usa Azure Key Vault para administrar los certificados. |
| Carga de un certificado privado | Si ya tiene un certificado privado de un proveedor de terceros, puede cargarlo. |
| Carga de un certificado público | Los certificados públicos no se usan para proteger los dominios personalizados, pero se pueden cargar en el código si los necesita para acceder a los recursos remotos. |
Requisitos de certificados privados
El certificado administrado de App Service gratuito y el certificado de App Service ya cumplen los requisitos de App Service. Si quiere usar un certificado privado en App Service, el certificado debe cumplir los siguientes requisitos:
- Se exporta como un archivo PFX protegido por contraseña, que está cifrado con Triple DES.
- Que contenga una clave privada de al menos 2048 bits de longitud.
- Contiene todos los certificados intermedios y el certificado raíz de la cadena de certificados.
Para proteger un dominio personalizado en un enlace TLS, el certificado debe cumplir otros requisitos:
- Contener un uso mejorado de clave para la autenticación de servidor (OID = 1.3.6.1.5.5.7.3.1)
- Estar firmado por una entidad de certificación de confianza
Creación de un certificado administrado gratuito
Para crear enlaces TLS/SSL personalizados o habilitar certificados de cliente para la aplicación de App Service, el plan de App Service debe estar en los niveles Básico, Estándar, Premium o Aislado.
El certificado administrado de App Service gratuito es una solución inmediata para proteger el nombre DNS personalizado en App Service. Se trata de un certificado de servidor TLS/SSL totalmente administrado por App Service y que se renueva de manera continua y automática en incrementos de seis meses, 45 días antes de la expiración. Usted crea el certificado y lo enlaza a un dominio personalizado, y deja que App Service se encargue del resto.
Importante
Antes de crear un certificado administrado gratuito, compruebe que cumple los requisitos previos de la aplicación. DigiCert emite los certificados gratuitos. En algunos dominios, debe permitir explícitamente DigiCert como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue digicert.com. Azure administra completamente los certificados en nombre del usuario, por lo que cualquier dato relacionado con el certificado administrado, incluido el emisor raíz, se puede cambiar en cualquier momento. Estos cambios se producen al margen del usuario. Asegúrese de evitar dependencias estrictas y de "anclar" los certificados de práctica al certificado administrado o a cualquier elemento de la jerarquía de certificados.
El certificado gratuito presenta las siguientes limitaciones:
- No admite certificados comodín.
- No admite el uso como certificado de cliente mediante la huella digital del certificado, cuya retirada está prevista.
- No admite DNS privado.
- No se puede exportar.
- No es compatible con un servicio App Service Environment (ASE).
- Solo admite caracteres alfanuméricos, guiones (-) y puntos (.).
- Solo se admiten dominios personalizados de una longitud de hasta 64 caracteres.
Importación de un certificado de App Service
Si adquiere un certificado de App Service de Azure, Azure administra las siguientes tareas:
- Se ocupa del proceso de adquisición del proveedor de certificados.
- Realiza la comprobación de dominio del certificado.
- Mantiene el certificado en Azure Key Vault.
- Administra la renovación de certificados.
- Sincroniza el certificado automáticamente con las copias importadas en las aplicaciones de App Service.
Si ya tiene un certificado de App Service en funcionamiento, puede realizar lo siguiente:
- Importar el certificado en App Service.
- Administrar el certificado; por ejemplo, renovarlo, volver a especificar la clave y exportarlo.
Nota
En este momento, no se admiten certificados de App Service en nubes nacionales de Azure.