Configurare i certificati di sicurezza
È stato chiesto di proteggere le informazioni trasmesse tra l'app aziendale e il cliente. Il Servizio app di Azure include strumenti che consentono di creare, caricare o importare un certificato privato o un certificato pubblico nel servizio app.
Un certificato caricato in un'app viene archiviato in un'unità di distribuzione associata alla combinazione di gruppo di risorse e area del piano di servizio app, (definita internamente spazio Web). In questo modo il certificato è accessibile ad altre app con la stessa combinazione di gruppo di risorse e area.
La tabella seguente elenca le opzioni disponibili per aggiungere certificati nel servizio app:
| Opzione | Descrizione |
|---|---|
| Creazione di un certificato gestito dal servizio app gratuito | Certificato privato gratuito e facile da usare se è sufficiente proteggere il dominio personalizzato nel servizio app. |
| Acquisto di un certificato del servizio app | Certificato privato gestito da Azure. Questa opzione combina la semplicità della gestione automatizzata dei certificati e la flessibilità delle opzioni di rinnovo e di esportazione. |
| Importazione di un certificato da Key Vault | Utile se si usa Azure Key Vault per gestire i certificati. |
| Caricamento di un certificato privato | Se si ha già un certificato privato rilasciato da un provider di terze parti, è possibile caricarlo. |
| Caricamento di un certificato pubblico | I certificati pubblici non vengono usati per proteggere i domini personalizzati, ma è possibile caricarli nel codice se sono necessari per accedere a risorse remote. |
Requisiti dei certificati privati
Il certificato gestito dal servizio app gratuito o il certificato del servizio app soddisfano già i requisiti del servizio. Se si vuole usare un certificato privato nel servizio app, il certificato deve soddisfare questi requisiti:
- Esportato come file PFX protetto da password, crittografato con Triple DES.
- Contenere una chiave privata di almeno 2048 bit.
- Deve contenere tutti i certificati intermedi e il certificato radice nella catena di certificati.
Per proteggere un dominio personalizzato in un'associazione TLS/SSL, il certificato presenta altri requisiti:
- Contiene un'estensione di utilizzo chiavi avanzato per l'autenticazione server (OID = 1.3.6.1.5.5.7.3.1)
- Essere firmato da un'autorità di certificazione attendibile
Creazione di un certificato gestito gratuito
Per creare associazioni TLS/SSL personalizzate o abilitare i certificati client per l'app del servizio app, p necessario che per il piano di servizio app sia stato selezionato il livello Basic, Standard, Premium o Isolato.
Il certificato gratuito gestito dal servizio app è una soluzione rapida ed efficace per proteggere il proprio nome DNS personalizzato nel servizio app. Si tratta di un certificato server TLS/SSL completamente gestito dal servizio app e rinnovato in modo continuo e automatico in incrementi di sei mesi, 45 giorni prima della scadenza. Si crea il certificato e lo si associa a un dominio personalizzato e il servizio app esegue automaticamente le altre operazioni.
Importante
Prima di creare un certificato gestito gratuito, assicurarsi di avere soddisfatto i prerequisiti per l'app. I certificati gratuiti vengono emessi da DigiCert. Per alcuni domini, è necessario consentire in modo esplicito DigiCert come autorità di certificazione creando un record di dominio CAA con il valore 0 issue digicert.com. Azure gestisce completamente i certificati per conto dell'utente, in modo che qualsiasi aspetto del certificato gestito, compresa l'autorità di certificazione radice, possa cambiare in qualsiasi momento. Queste modifiche sono esterne al controllo. Assicurarsi di evitare dipendenze rigide e certificati di procedura di associazione al certificato gestito o a qualsiasi parte della gerarchia di certificati.
Il certificato gratuito presenta le limitazioni seguenti:
- Non supporta i certificati con caratteri jolly.
- Non supporta l'utilizzo come certificato client usando l'identificazione personale del certificato. Questa funzionalità è pianificata per la deprecazione e la rimozione.
- Non supporta il DNS privato.
- Non è esportabile.
- Non è supportato in un ambiente del servizio app.
- Supporta solo caratteri alfanumerici, trattini (-) e punti (.).
- Sono supportati solo domini personalizzati di lunghezza fino a 64 caratteri.
Importare un certificato del servizio app
Se si acquista un certificato del servizio app da Azure, Azure gestisce le attività seguenti:
- Si occupa del processo di acquisto dal provider di certificati.
- Esegue la verifica del dominio del certificato.
- Gestisce il certificato in Azure Key Vault.
- Gestisce il rinnovo del certificato.
- Sincronizza automaticamente il certificato con le copie importate nelle app del servizio app.
Se si ha già un certificato del servizio app funzionante, è possibile:
- Importare il certificato nel servizio app.
- Gestire il certificato, ad esempio rinnovarlo, reimpostare la chiave ed esportarlo.
Nota
Al momento i certificati del servizio app non sono supportati nei cloud nazionali di Azure.