Tworzenie certyfikatu usługi App Service dla aplikacji internetowej i zarządzanie nim

W tym artykule pokazano, jak utworzyć certyfikat usługi App Service i wykonywać zadania zarządzania, takie jak odnawianie, synchronizowanie i usuwanie certyfikatów. Po utworzeniu certyfikatu usługi App Service możesz zaimportować go do aplikacji usługi App Service. Certyfikat usługi App Service to prywatny certyfikat zarządzany przez platformę Azure. Łączy prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania.

W przypadku zakupu certyfikatu usługi App Service z platformy Azure platforma Azure zarządza następującymi zadaniami:

• Obsługuje proces zakupu od firmy GoDaddy.
• Przeprowadza weryfikację domeny certyfikatu.
• Utrzymuje certyfikat w usłudze Azure Key Vault.
• Zarządza odnawianiem certyfikatu.
• Synchronizuje certyfikat automatycznie z zaimportowanymi kopiami w aplikacjach usługi App Service.

Uwaga

Po przekazaniu certyfikatu do aplikacji certyfikat jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów, regionem i kombinacją systemu operacyjnego planu usługi App Service, wewnętrznie nazywaną przestrzenią internetową. Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej kombinacji grup zasobów i regionu. Certyfikaty przekazane lub zaimportowane do usługi App Service są współużytkowane z usługami App Services w tej samej lekcji wdrażania.

Wymagania wstępne

• Utwórz aplikację usługi App Service. Plan usługi App Service aplikacji musi znajdować się w warstwie Podstawowa, Standardowa, Premium lub Izolowana. Zobacz Skalowanie aplikacji w górę , aby zaktualizować warstwę.

Uwaga

Obecnie certyfikaty usługi App Service nie są obsługiwane w chmurach krajowych platformy Azure.

Kupowanie i konfigurowanie certyfikatu usługi App Service

Kupowanie certyfikatu

1. Przejdź do strony Tworzenie certyfikatu usługi App Service, aby rozpocząć zakup.

   Uwaga

   Certyfikaty usługi App Service zakupione na platformie Azure są wystawiane przez firmę GoDaddy. W przypadku niektórych domen należy jawnie zezwolić usłudze GoDaddy na wystawcę certyfikatów, tworząc rekord domeny CAA z wartością 0 issue godaddy.com.

   

2. Aby skonfigurować certyfikat, użyj poniższej tabeli. Po zakończeniu wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

   Ustawienie	opis
   Subskrypcja	Subskrypcja platformy Azure do skojarzenia z certyfikatem.
   Grupa zasobów	Grupa zasobów, która będzie zawierać certyfikat. Możesz utworzyć nową grupę zasobów lub wybrać tę samą grupę zasobów co aplikacja usługi App Service.
   SKU	Określa typ certyfikatu do utworzenia— certyfikat standardowy lub certyfikat wieloznaczny.
   Nazwa hosta domeny Naked	Określ domenę główną. Wystawiony certyfikat zapewnia zabezpieczenia zarówno dla domeny głównejwww, jak i poddomeny. W wystawionym certyfikacie pole Nazwa pospolita określa domenę główną, a pole Alternatywna nazwa podmiotu określa domenęwww. Aby zapewnić zabezpieczenia tylko poddomeny, określ w pełni kwalifikowaną nazwę domeny dla poddomeny, na przykład mysubdomain.contoso.com.
   Nazwa certyfikatu	Przyjazna nazwa certyfikatu usługi App Service.
   Włączanie automatycznego odnawiania	Wybierz, czy certyfikat ma być odnawiany automatycznie przed wygaśnięciem. Każde odnawianie przedłuża wygaśnięcie certyfikatu o jeden rok. Opłata jest naliczana za subskrypcję.

3. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Przechowywanie certyfikatu w usłudze Azure Key Vault

Key Vault to usługa platformy Azure, która pomaga chronić klucze kryptograficzne i wpisy tajne używane przez aplikacje i usługi w chmurze. W przypadku certyfikatów usługi App Service zalecamy użycie usługi Key Vault. Po zakończeniu procesu zakupu certyfikatu należy wykonać jeszcze kilka kroków przed rozpoczęciem korzystania z certyfikatu.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat. W menu certyfikatu wybierz pozycję Konfiguracja>certyfikatu Krok 1: Przechowywanie.

   

2. Na stronie Stan usługi Key Vault wybierz pozycję Wybierz z usługi Key Vault.

3. Jeśli tworzysz nowy magazyn, skonfiguruj magazyn na podstawie poniższej tabeli i upewnij się, że używasz tej samej subskrypcji i grupy zasobów co aplikacja usługi App Service.

   Ustawienie	opis
   Grupa zasobów:	Zalecane: ta sama grupa zasobów co certyfikat usługi App Service.
   Nazwa magazynu kluczy	Unikatowa nazwa, która używa tylko znaków alfanumerycznych i kresek.
   Region	Ta sama lokalizacja co aplikacja usługi App Service.
   Warstwa cenowa	Aby uzyskać więcej informacji, zobacz Szczegóły cennika usługi Azure Key Vault.
   Dni przechowywania usuniętych magazynów	Liczba dni, po usunięciu, które obiekty pozostają możliwe do odzyskania. (Zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault). Ustaw wartość z zakresu od 7 do 90.
   Ochrona przed przeczyszczaniem	Włączenie tej opcji wymusza, aby wszystkie usunięte obiekty pozostawały w stanie usunięcia nietrwałego przez cały okres przechowywania.

4. Wybierz pozycję Dalej , a następnie wybierz pozycję Zasady dostępu do magazynu. Obecnie certyfikaty usługi App Service obsługują tylko zasady dostępu usługi Key Vault, a nie model RBAC.

5. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

6. Po utworzeniu magazynu kluczy nie wybieraj pozycji Przejdź do zasobu. Poczekaj na ponowne załadowanie strony Wybieranie magazynu kluczy z usługi Azure Key Vault .

7. Wybierz pozycję Wybierz.

8. Po wybraniu magazynu zamknij stronę Repozytorium usługi Key Vault. Opcja Krok 1. Przechowywanie powinna zawierać zielony znacznik wyboru, aby wskazać powodzenie. Pozostaw stronę otwartą dla następnego kroku.

Potwierdzanie własności domeny

1. Na tej samej stronie Konfiguracja certyfikatu co w poprzedniej sekcji wybierz pozycję Krok 2: Weryfikacja.

   

2. Wybierz pozycję Weryfikacja usługi App Service. Ponieważ domena została zamapowana na aplikację internetową wcześniej w tej sekcji, domena została już zweryfikowana. Aby zakończyć ten krok, po prostu wybierz pozycję Weryfikuj, a następnie wybierz pozycję Odśwież do momentu wyświetlenia komunikatu Certyfikat zweryfikowano domenę.

Obsługiwane są następujące metody weryfikacji domeny:

Metoda	opis
Weryfikacja usługi App Service	Najwygodniejsza opcja, gdy domena jest już mapowana na aplikację usługi App Service w tej samej subskrypcji, ponieważ aplikacja usługi App Service zweryfikowała już własność domeny. Zapoznaj się z ostatnim krokiem w temacie Potwierdzanie własności domeny.
Weryfikacja domeny	Potwierdź domenę usługi App Service kupioną na platformie Azure. Platforma Azure automatycznie dodaje w Twoim imieniu rekord TXT weryfikacji i kończy proces.
Weryfikacja poczty	Potwierdź domenę, wysyłając wiadomość e-mail do administratora domeny. Instrukcje są udostępniane po wybraniu opcji.
Weryfikacja ręczna	Potwierdź domenę przy użyciu rekordu TXT DNS lub strony HTML. (Ten ostatni dotyczy tylko certyfikatów standardowych. Zobacz następującą notatkę). Kroki są udostępniane po wybraniu opcji. Opcja strona HTML nie działa w przypadku aplikacji internetowych z włączonym tylko protokołem HTTPS. W przypadku weryfikacji domeny za pośrednictwem rekordu TXT dns dla domeny głównej (na przykład contoso.com) lub poddomeny (na przykład www.contoso.com lub test.api.contoso.com) i niezależnie od jednostki SKU certyfikatu należy dodać rekord TXT na poziomie domeny głównej, używając @ dla nazwy i tokenu weryfikacji domeny dla wartości w rekordzie DNS.

Ważne

W przypadku certyfikatu standardowego uzyskasz certyfikat dla żądanej domeny najwyższego poziomu i www poddomeny, na przykład contoso.com i www.contoso.com. Jednak weryfikacja usługi App Service i weryfikacja ręczna używają weryfikacji strony HTML, która nie obsługuje poddomeny podczas wystawiania, ponownego www klucza lub odnawiania certyfikatu. W przypadku certyfikatu standardowego użyj weryfikacji domeny i weryfikacji poczty, aby uwzględnić www poddomenę z żądaną domeną najwyższego poziomu w certyfikacie.

Po zweryfikowaniu certyfikatu możesz go zaimportować do aplikacji usługi App Service.

Odnawianie certyfikatu usługi App Service

Domyślnie certyfikaty usługi App Service mają roczny okres ważności. Przed datą wygaśnięcia można automatycznie lub ręcznie odnowić certyfikaty usługi App Service w ciągu jednego roku. Proces odnowienia w zasadzie zapewnia nowy certyfikat usługi App Service z datą wygaśnięcia przedłużoną o jeden rok od daty wygaśnięcia istniejącego certyfikatu.

Uwaga

Od 23 września 2021 r., jeśli domena nie została zweryfikowana w ciągu ostatnich 395 dni, certyfikaty usługi App Service wymagają weryfikacji domeny podczas odnawiania, automatycznego odnawiania lub ponownego klucza. Nowe zamówienie certyfikatu pozostaje w trybie "oczekiwanie na wystawianie" podczas procesu odnawiania, automatycznego odnawiania lub ponownego klucza do momentu ukończenia weryfikacji domeny.

W przeciwieństwie do bezpłatnego certyfikatu zarządzanego usługi App Service zakupione certyfikaty usługi App Service nie mają automatycznej ponownej weryfikacji domeny. Niepowodzenie weryfikacji własności domeny powoduje niepowodzenie odnawiania. Aby uzyskać więcej informacji na temat weryfikowania certyfikatu usługi App Service, zobacz Potwierdzanie własności domeny.

Proces odnawiania wymaga, aby jednostka usługi dla usługi App Service ma wymagane uprawnienia do magazynu kluczy. Te uprawnienia są konfigurowane podczas importowania certyfikatu usługi App Service za pośrednictwem witryny Azure Portal. Upewnij się, że nie usuwasz tych uprawnień z magazynu kluczy.

1. Aby zmienić ustawienie automatycznego odnawiania certyfikatu usługi App Service w dowolnym momencie, na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. W menu po lewej stronie wybierz pozycję Automatyczne odnawianie ustawień.

3. Wybierz pozycję Włączone lub Wyłączone, a następnie wybierz pozycję Zapisz.

   Jeśli włączysz automatyczne odnawianie, certyfikaty mogą rozpocząć automatyczne odnawianie 32 dni przed wygaśnięciem.

   

4. Aby ręcznie odnowić certyfikat, wybierz pozycję Odnów ręcznie. Możesz zażądać ręcznego odnowienia certyfikatu przez 60 dni przed wygaśnięciem, ale certyfikaty nie mogą być wystawiane dłużej niż 397 dni.

5. Po zakończeniu operacji odnawiania wybierz pozycję Synchronizuj.

   Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.

   Uwaga

   Jeśli nie wybierzesz pozycji Synchronizuj, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

Wymiana klucza certyfikatu usługi App Service

Jeśli uważasz, że klucz prywatny certyfikatu został naruszony, możesz ponownie wyklucz certyfikatu. Ta akcja powoduje rotację certyfikatu przy użyciu nowego certyfikatu wystawionego przez urząd certyfikacji.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat. W menu po lewej stronie wybierz pozycję Zmień klucz i Synchronizuj.

2. Aby rozpocząć proces, wybierz pozycję Zmień klucz. Ukończenie tego procesu może potrwać od 1 do 10 minut.

   

3. Może być również wymagane ponowne potwierdzenie własności domeny.

4. Po zakończeniu operacji ponownego klucza wybierz pozycję Synchronizuj.

   Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.

   Uwaga

   Jeśli nie wybierzesz pozycji Synchronizuj, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.

Eksportowanie certyfikatu usługi App Service

Ponieważ certyfikat usługi App Service jest wpisem tajnym usługi Key Vault, możesz wyeksportować kopię jako plik PFX, którego można użyć w przypadku innych usług platformy Azure lub spoza platformy Azure.

Ważne

Wyeksportowany certyfikat jest artefaktem niezarządzanym. Usługa App Service nie synchronizuje takich artefaktów po odnowieniu certyfikatu usługi App Service. W razie potrzeby należy wyeksportować i zainstalować odnowiony certyfikat.

Witryna Azure Portal

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. W menu po lewej stronie wybierz pozycję Eksportuj certyfikat.

3. Wybierz pozycję Otwórz wpis tajny usługi Key Vault.

4. Wybierz bieżącą wersję certyfikatu.

5. Wybierz pozycję Pobierz jako certyfikat.

Interfejs wiersza polecenia platformy Azure

Uruchom następujące polecenia w usłudze Azure Cloud Shell lub uruchom je lokalnie, jeśli zainstalowano interfejs wiersza polecenia platformy Azure. Zastąp symbole zastępcze nazwami użytymi podczas zakupu certyfikatu usługi App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Pobrany plik PFX jest nieprzetworzonym plikiem PKCS12 zawierającym zarówno certyfikaty publiczne, jak i prywatne, i ma hasło importu, które jest pustym ciągiem. Plik można zainstalować lokalnie, pozostawiając puste pole hasła. Nie można przekazać pliku jako pliku do usługi App Service , ponieważ plik nie jest chroniony hasłem.

Używanie usługi Azure Advisor dla certyfikatu usługi App Service

Certyfikat usługi App Service jest zintegrowany z usługą Azure Advisor , aby zapewnić rekomendacje dotyczące niezawodności, gdy certyfikat wymaga weryfikacji domeny. Jeśli domena nie została zweryfikowana w ciągu ostatnich 395 dni, musisz zweryfikować własność certyfikatu podczas odnawiania, automatycznego odnawiania lub ponownego klucza. Aby upewnić się, że nie przegapisz żadnego certyfikatu, który wymaga weryfikacji lub ryzyka jakiegokolwiek certyfikatu przed wygaśnięciem, możesz utlizeć usługę Azure Advisor, aby wyświetlić i skonfigurować alerty dotyczące certyfikatu usługi App Service.

Wyświetl zalecenie usługi Advisor

Aby wyświetlić zalecenie usługi Advisor dotyczące certyfikatu usługi App Service:

1. Przejdź do strony azure Advisor.

2. W menu po lewej stronie wybierz pozycję Zalecenia dotyczące>niezawodności

3. Wybierz opcję filtru Typ równe i wyszukaj pozycję Certyfikaty usługi App Service z listy rozwijanej. Jeśli wartość nie istnieje w menu rozwijanym, oznacza to, że żadne zalecenie nie zostało wygenerowane dla zasobów certyfikatu usługi App Service, ponieważ żadne z nich nie wymaga weryfikacji własności domeny.

Tworzenie alertów usługi Advisor

[utworzysz alerty usługi Azure Advisor dotyczące nowych zaleceń] przy użyciu różnych konfiguracji. Aby skonfigurować alerty usługi Advisor specjalnie dla certyfikatu Serivice aplikacji, aby otrzymywać powiadomienia, gdy certyfikat wymaga weryfikacji własności domeny:

1. Przejdź do strony azure Advisor.

2. W menu po lewej stronie wybierz pozycję Alerty monitorowania>(wersja zapoznawcza)

3. Kliknij pozycję + Nowy alert doradcy na pasku akcji u góry. Spowoduje to otwarcie nowego bloku o nazwie "Utwórz alerty klasyfikatora".

4. W obszarze Warunek wybierz następujące opcje:

   Skonfigurowane przez	Typ zalecenia
   Typ zalecenia	Weryfikacja domeny wymagana do wystawienia Twojego certyfikatu usługi App Service

5. Wypełnij pozostałe wymagane pola, a następnie wybierz przycisk Utwórz alert u dołu.

Usuwanie certyfikatu usługi App Service

Jeśli usuniesz certyfikat usługi App Service, operacja usuwania jest nieodwracalna i ostateczna. Wynikiem jest odwołany certyfikat, a wszelkie powiązania w usłudze App Service korzystające z certyfikatu stają się nieprawidłowe.

1. Na stronie Certyfikaty usługi App Service wybierz certyfikat.

2. Z menu po lewej stronie wybierz pozycję Przegląd>Usuń.

3. Po otwarciu pola potwierdzenia wprowadź nazwę certyfikatu, a następnie wybierz przycisk OK.

Często zadawane pytania

Mój certyfikat usługi App Service nie ma żadnej wartości w usłudze Key Vault

Certyfikat usługi App Service prawdopodobnie nie został jeszcze zweryfikowany przez domenę. Dopóki własność domeny nie zostanie potwierdzona, certyfikat usługi App Service nie jest gotowy do użycia. Jako wpis tajny usługi Key Vault utrzymuje Initialize tag, a jego wartość i typ zawartości pozostają puste. Po potwierdzeniu własności domeny wpis tajny magazynu kluczy zawiera wartość i typ zawartości, a tag zmienia się na Ready.

Nie mogę wyeksportować certyfikatu usługi App Service za pomocą programu PowerShell

Certyfikat usługi App Service prawdopodobnie nie został jeszcze zweryfikowany przez domenę. Dopóki własność domeny nie zostanie potwierdzona, certyfikat usługi App Service nie jest gotowy do użycia.

Jakie zmiany wprowadza proces tworzenia certyfikatu usługi App Service w istniejącym magazynie kluczy?

Proces tworzenia wprowadza następujące zmiany:

• Dodaje dwie zasady dostępu w magazynie:
  • Microsoft.Azure.WebSites (lub Microsoft Azure App Service)
  • Dostawca zasobów CSM odsprzedawcy certyfikatów firmy Microsoft (lub Microsoft.Azure.CertificateRegistration)
• Tworzy blokadę usuwania wywoływaną AppServiceCertificateLock w magazynie, aby zapobiec przypadkowemu usunięciu magazynu kluczy.

Powiązana zawartość

• Zabezpieczanie niestandardowej nazwy DNS przy użyciu powiązania TLS/SSL w usłudze aplikacja systemu Azure
• Wymuszanie protokołu HTTPS
• Wymuszanie protokołu TLS 1.1/1.2
• Używanie certyfikatu TLS/SSL w kodzie w usłudze Azure App Service
• Często zadawane pytania dotyczące tworzenia lub usuwania zasobów w usłudze aplikacja systemu Azure