Compartir vía


Creación y administración de un certificado de App Service para la aplicación web

En este artículo se muestra cómo crear un certificado de App Service y realizar tareas de administración como las de renovar, sincronizar y eliminar certificados. Una vez que tenga un certificado de App Service, puede importarlo a una aplicación de App Service. Un certificado de App Service es un certificado privado administrado por Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación.

Si adquiere un certificado de App Service de Azure, Azure se ocupará de llevar a cabo las siguientes tareas:

  • Manejar el proceso de compra de GoDaddy.
  • Realiza la comprobación de dominio del certificado.
  • Mantiene el certificado en Azure Key Vault.
  • Administrar la renovación de certificados.
  • Sincronizar el certificado automáticamente con las copias importadas en aplicaciones de App Service.

Nota

Después de cargar un certificado en una aplicación, este se almacena en una unidad de implementación enlazada al grupo de recursos, la región y la combinación del sistema operativo del plan de App Service, que se denomina internamente un espacio web. De esta manera, el certificado es accesible para otras aplicaciones con la misma combinación de región y grupo de recursos. Los certificados cargados o importados en App Service se comparten con App Services en la misma unidad de implementación.

Prerrequisitos

Nota

Actualmente, los certificados de App Service no son compatibles con las nubes nacionales de Azure.

Compra y configuración de un certificado de App Service

Compra del certificado

  1. Vaya a la página Crear certificado de App Service para iniciar la compra.

    Nota:

    Los certificados de App Service adquiridos de Azure los emite GoDaddy. En algunos dominios, debe permitir explícitamente GoDaddy como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue godaddy.com.

    Recorte de pantalla del panel Crear certificado de App Service con las opciones de compra.

  2. Para configurar el certificado, use la tabla siguiente. Cuando haya terminado, seleccione Revisar y crear y, después, Crear.

    Configuración Descripción
    Suscripción La suscripción de Azure que se va a asociar al certificado.
    Grupo de recursos El grupo de recursos que contendrá el certificado. Puede crear un nuevo grupo de recursos o seleccionar el mismo grupo de recursos que la aplicación de App Service.
    SKU Determine el tipo de certificado para crear, ya sea de tipo estándar o comodín.
    Nombre de host de dominio desnudo Especifique el dominio raíz. El certificado emitido protege al mismo tiempo el dominio raíz y el subdominio www. En el certificado emitido, el campo Nombre común especifica el dominio raíz, mientras que el campo Nombre alternativo del firmante especifica el dominio www. Para proteger únicamente un subdominio, especifique el nombre de dominio completo del subdominio. Por ejemplo, mysubdomain.contoso.com.
    Nombre de certificado El nombre descriptivo para el certificado de App Service.
    Habilitar renovación automática Especifique si desea renovar automáticamente el certificado antes de la expiración. Cada renovación amplía la expiración del certificado en un año. El costo se cobra a la suscripción.
  3. Una vez finalizada la implementación, seleccione Ir al recurso.

Almacenamiento del certificado en Azure Key Vault

Key Vault es un servicio de Azure que ayuda a proteger claves criptográficas y secretos que emplean servicios y aplicaciones en la nube. En el caso de los certificados de App Service, se recomienda usar Key Vault. Después de finalizar el proceso de compra de certificados, debe completar algunos pasos más antes de empezar a usar el certificado.

  1. En la página de certificados de App Service, seleccione el certificado. En el menú certificado, seleccione Configuración del certificado>Paso 1: Almacenar.

    Recorte de pantalla del panel Configuración del certificado, con la opción

  2. En la página Estado de Key Vault, seleccione Seleccionar de Key Vault.

  3. Si crea un nuevo almacén, configúrelo en función de la tabla siguiente y asegúrese de usar la misma suscripción y grupo de recursos que la aplicación de App Service.

    Configuración Descripción
    Grupos de recursos Recomendación: Usar el mismo grupo de recursos que el certificado de App Service.
    Nombre del almacén de claves Un nombre único que solo contiene caracteres alfanuméricos y guiones.
    Región La misma que tiene la aplicación de App Service.
    Plan de tarifa Para obtener información, consulte Detalles de precios de Azure Key Vault.
    Días durante los cuales se conservarán los almacenes eliminados Número de días, después de la eliminación, que los objetos se pueden recuperar. (Vea Información general sobre la eliminación temporal de Azure Key Vault). Establezca un valor comprendido entre 7 y 90.
    Protección de purgas Al habilitar esta opción, todos los objetos eliminados permanecerán en estado de eliminación temporal durante todo el período de retención.
  4. Seleccione Siguiente y después Directiva de acceso de almacén. Actualmente, los certificados de App Service solo admiten las directivas de acceso de Key Vault, pero no el modelo de RBAC.

  5. Seleccione Revisar y crear y, luego, Crear.

  6. Después de crear el almacén de claves, no seleccione Ir al recurso. Espere a que se vuelva a cargar la página Seleccionar almacén de claves en Azure Key Vault.

  7. Elija Seleccionar.

  8. Después de seleccionar el almacén, cierre la página del repositorio de Key Vault. La opción Paso 1: Almacenar debería mostrar una marca de verificación verde si se ha completado correctamente. Mantenga la página abierta para el siguiente paso.

Confirmación de la propiedad del dominio

  1. En la misma página Configuración del certificado de la sección anterior, seleccione Paso 2: Comprobar.

    Recorte de pantalla del panel

  2. Seleccione Comprobación de App Service. Como anteriormente en esta sección ha asignado el dominio a la aplicación web, el dominio ya se ha comprobado. Para finalizar este paso, seleccione Comprobar y después Actualizar hasta que se muestre el mensaje El certificado tiene el dominio comprobado.

Se admiten los siguientes métodos de comprobación de dominio:

Método Descripción
Comprobación de App Service La opción más conveniente cuando el dominio ya se ha asignado a una aplicación de App Service en la misma suscripción porque la aplicación de App Service ya ha comprobado la propiedad del dominio. Revise el último paso descrito en Confirmación de la propiedad del dominio.
Comprobación del dominio Compruebe un dominio de App Service que haya adquirido a través de Azure. Azure agrega automáticamente el registro TXT de comprobación en su lugar y completa el proceso.
Comprobación del correo Confirme el dominio mediante el envío de un correo electrónico al administrador de dominio. Cuando selecciona la opción, se proporcionan instrucciones.
Comprobación manual Confirme el dominio mediante un registro DNS TXT o una página HTML. (Este último solo se aplica a los certificados estándar. Vea la nota siguiente). Los pasos se proporcionan después de seleccionar la opción. La opción de página HTML no funciona para las aplicaciones web con la opción Solo HTTPS habilitada. Para la verificación del dominio mediante el registro TXT de DNS, ya sea para el dominio raíz (por ejemplo, contoso.com) o el subdominio (por ejemplo, www.contoso.com o test.api.contoso.com) e independientemente del SKU del certificado, deberá agregar un registro TXT en el nivel del dominio raíz con @ para el nombre y el token de verificación del dominio para el valor en el registro DNS.

Importante

En el caso de un certificado Estándar, obtiene un certificado para el dominio de nivel superior solicitado y el subdominio de www, por ejemplo, contoso.com y www.contoso.com. Pero tanto la comprobación de App Service como la comprobación manual usan la comprobación de página HTML, que no admite el subdominio de www al emitir, volver a especificar la clave o renovar un certificado. Para el certificado Estándar, use la comprobación de dominio y la comprobación de correo electrónico para incluir el subdominio de www con el dominio de nivel superior solicitado en el certificado.

Una vez que el dominio compruebe su certificado, ya puede importarlo en una aplicación de App Service.

Renovación de un certificado de App Service

De forma predeterminada, los certificados de App Service tienen un período de validez de un año. Antes de la fecha de expiración, puede renovar de forma automática o manual los certificados de App Service con una frecuencia anual. El proceso de renovación proporciona un nuevo certificado de App Service con la fecha de expiración ampliada a un año desde la fecha de expiración del certificado existente.

Nota:

A partir del 23 de septiembre de 2021 si no ha comprobado el dominio en los últimos 395 días, los certificados de App Service requieren comprobar el dominio durante un proceso de renovación, renovación automática o de regeneración de claves. El nuevo pedido de certificado permanece como "pendiente de emisión" al renovarlo, renovarlo de manera automática o regenerar la clave hasta que se complete la comprobación del dominio.

A diferencia de un certificado administrado de App Service, los certificados comprados de App Service no se vuelven a comprobar de forma automatizada. Si no se comprueba la propiedad del dominio, se producirá un error en las renovaciones. Para obtener más información sobre cómo comprobar el certificado de App Service, consulte Confirmación de la propiedad del dominio.

Para el proceso de renovación es necesario que la entidad de servicio para App Service tenga los permisos necesarios en el almacén de claves. Estos permisos se configuran para usted al importar un certificado de App Service a través del Azure Portal. Asegúrese de no quitar estos permisos del almacén de claves.

  1. Para cambiar la configuración de renovación automática del certificado de App Service en cualquier momento, seleccione el certificado en la página de certificados de App Service.

  2. En el menú de la izquierda, seleccione Configuración de renovación automática.

  3. Seleccione Activar o Desactivar, y después Guardar.

    Si activa la renovación automática, los certificados podrán empezar a renovarse automáticamente 32 días antes de la expiración.

    Captura de pantalla de la configuración de renovación automática para el certificado especificado.

  4. Para renovar manualmente el certificado, haga clic en Renovación manual. Puede solicitar renovar manualmente el certificado 60 días antes de la expiración, pero los certificados no se emiten para más de 397 días.

  5. Una vez completada la operación de renovación, seleccione Sincronizar.

    La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

    Nota

    Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Nueva especificación de la clave de un certificado de App Service

Si piensa que la clave privada del certificado está en peligro, puede volver a especificar la clave del certificado. Esta acción gira el certificado con un nuevo certificado emitido desde la entidad de certificación.

  1. En la página de certificados de App Service, seleccione el certificado. En el menú de la izquierda, seleccione Regenerar claves y sincronizar.

  2. Para iniciar el proceso, seleccione Regenerar claves. Este proceso puede tardar de 1 a 10 minutos en completarse.

    Captura de pantalla que muestra cómo regenerar las claves para un certificado de App Service.

  3. También es posible que tenga que volver a confirmar la propiedad del dominio.

  4. Después de completar la operación de regeneración de claves, seleccione Sincronizar.

    La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

    Nota

    Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Exportación de un certificado de App Service

Dado que un certificado de App Service es un secreto de Key Vault, puede exportar una copia PFX y usarla con otros servicios de Azure o fuera de Azure.

Importante

El certificado exportado es un artefacto no administrado. App Service no sincroniza estos artefactos al renovar el certificado de App Service. El usuario deberá exportar el certificado renovado e instalarlo donde lo necesite.

  1. En la página de certificados de App Service, seleccione el certificado.

  2. En el menú de la izquierda, seleccione Exportar certificado.

  3. Seleccione Abrir secreto de Key Vault.

  4. Seleccione la versión actual del certificado.

  5. Seleccione Descargar como certificado.

El archivo PFX descargado es un archivo PKCS12 sin formato que contiene los certificados públicos y privados, y una contraseña de importación que es una cadena vacía. Podrá efectuar una instalación local si deja vacío el campo de contraseña. No podrá cargar el archivo directamente en App Service porque no está protegido mediante contraseña.

Uso de Azure Advisor para el certificado de App Service

El certificado de App Service se integra con Azure Advisor para proporcionar recomendaciones de confiabilidad para cuando el certificado requiera la comprobación del dominio. Debe comprobar la propiedad del dominio del certificado durante el proceso de renovación, renovación automática o clave si no ha comprobado el dominio en los últimos 395 días. Para asegurarse de que no se pierda ningún certificado que requiera comprobación o riesgo de que expire ningún certificado, puede usar Azure Advisor para ver y configurar alertas para el certificado de App Service.

Ver recomendación de Advisor

Para ver la recomendación de Advisor para el certificado de App Service:

  1. Vaya a la página de Azure Advisor.

  2. En el menú de la izquierda, seleccione Recomendaciones>Confiabilidad

  3. Seleccione la opción de filtro Tipo es igual a y busque Certificados de App Service en la lista desplegable. Si el valor no existe en el menú desplegable, significa que no se ha generado ninguna recomendación para los recursos del certificado de App Service porque ninguno de ellos requiere la comprobación de la propiedad del dominio.

Creación de alertas de Advisor

Puede [crear alertas de Azure Advisor sobre nuevas recomendaciones] mediante configuraciones diferentes. Para configurar alertas de Advisor específicamente para el certificado de App Serivice para que pueda obtener notificaciones cuando el certificado requiera la validación de la propiedad del dominio:

  1. Vaya a la página de Azure Advisor.

  2. En el menú de la izquierda, seleccione Supervisión>Alertas (versión preliminar)

  3. Haga clic en + Nueva alerta de Advisor en la barra de acciones de la parte superior. Se abrirá una nueva hoja denominada "Crear alertas de Advisor".

  4. En Condición, seleccione lo siguiente:

    Configurado por Tipo de recomendación
    Tipo de recomendación Se requiere verificación de dominio para emitir el certificado de App Service
  5. Rellene el resto de los campos necesarios y, a continuación, seleccione el botón Crear alerta en la parte inferior.

Eliminación de un certificado de App Service

Si elimina un certificado de App Service, la operación de eliminación es irreversible y definitiva. El resultado es un certificado revocado, y cualquier enlace de App Service que use este certificado deja de ser válido.

  1. En la página de certificados de App Service, seleccione el certificado.

  2. En el menú de la izquierda, seleccione Información general>Eliminar.

  3. Cuando se abra el cuadro de confirmación, escriba el nombre del certificado y, después, seleccione Aceptar.

Preguntas más frecuentes

Mi certificado de App Service no tiene ningún valor en Key Vault

Es probable que el certificado de App Service todavía no esté comprobado por el dominio. Hasta que se confirme la propiedad del dominio, el certificado de App Service no está listo para su uso. Como secreto del almacén de claves, mantiene una etiqueta Initialize, y su valor y el tipo de contenido permanecen vacíos. Cuando se confirma la propiedad del dominio, el secreto del almacén de claves muestra un valor y un tipo de contenido, y la etiqueta cambia a Ready.

No puedo exportar mi certificado de App Service con PowerShell

Es probable que el certificado de App Service todavía no esté comprobado por el dominio. Hasta que se confirme la propiedad del dominio, el certificado de App Service no está listo para su uso.

¿Qué cambios realiza el proceso de creación de certificados App Service en el almacén de claves existente?

El proceso de creación realiza los siguientes cambios:

  • Agrega dos directivas de acceso en el almacén:
    • Microsoft.Azure.WebSites (o Microsoft Azure App Service)
    • Proveedor de recursos de CSM de revendedor de certificados de Microsoft (o Microsoft.Azure.CertificateRegistration)
  • Crea un bloqueo de eliminación denominado AppServiceCertificateLock en el almacén para evitar la eliminación accidental del almacén de claves.