Zobacz Dodawanie certyfikatów TLS/SSL i zarządzanie nimi w Azure App Service
Uwaga
Od 1 czerwca 2024 r. wszystkie nowo utworzone aplikacje usługi App Service będą miały możliwość wygenerowania unikatowej domyślnej nazwy hosta przy użyciu konwencji <app-name>-<random-hash>.<region>.azurewebsites.net
nazewnictwa . Istniejące nazwy aplikacji pozostaną niezmienione.
Przykład: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Aby uzyskać więcej informacji, zapoznaj się z unikatową domyślną nazwą hosta zasobu usługi App Service.
Możesz dodać certyfikaty zabezpieczeń cyfrowych do użycia w kodzie aplikacji lub pomóc w zabezpieczaniu niestandardowych nazw DNS w usłudze aplikacja systemu Azure Service, która zapewnia wysoce skalowalną, samonaklejającą usługę hostingu internetowego. Obecnie nazywane certyfikatami Protokołu TLS (Transport Layer Security), znane również jako certyfikaty Secure Socket Layer (SSL), te certyfikaty prywatne lub publiczne ułatwiają zabezpieczanie połączeń internetowych przez szyfrowanie danych wysyłanych między przeglądarką, witrynami internetowymi, które odwiedzasz i serwerem witryny sieci Web.
W poniższej tabeli wymieniono opcje dodawania certyfikatów w usłudze App Service:
Opcja | Opis |
---|---|
Tworzenie bezpłatnego certyfikatu zarządzanego usługi App Service | Prywatny certyfikat, który jest bezpłatny i łatwy w użyciu, jeśli wystarczy poprawić bezpieczeństwo domeny niestandardowej w usłudze App Service. |
Importowanie certyfikatu usługi App Service | Prywatny certyfikat zarządzany przez platformę Azure. Łączy prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania. |
Importowanie certyfikatu z usługi Key Vault | Przydatne, jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami PKCS12. Zobacz Wymagania dotyczące certyfikatu prywatnego. |
Przekazywanie certyfikatu prywatnego | Jeśli masz już certyfikat prywatny od dostawcy innej firmy, możesz go przekazać. Zobacz Wymagania dotyczące certyfikatu prywatnego. |
Przekazywanie certyfikatu publicznego | Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można załadować je do kodu, jeśli są one potrzebne do uzyskiwania dostępu do zasobów zdalnych. |
Wymagania wstępne
Utwórz aplikację usługi App Service. Plan usługi App Service aplikacji musi znajdować się w warstwie Podstawowa, Standardowa, Premium lub Izolowana. Zobacz Skalowanie aplikacji w górę , aby zaktualizować warstwę.
W przypadku certyfikatu prywatnego upewnij się, że spełnia wszystkie wymagania usługi App Service.
Tylko bezpłatny certyfikat:
Zamapuj domenę, w której chcesz zamapować certyfikat na usługę App Service. Aby uzyskać informacje, zobacz Samouczek: mapowania istniejącej niestandardowej nazwy DNS na usługę aplikacja systemu Azure.
W przypadku domeny głównej (takiej jak contoso.com) upewnij się, że aplikacja nie ma skonfigurowanych żadnych ograniczeń adresów IP. Zarówno tworzenie certyfikatu, jak i jego okresowe odnawianie domeny głównej zależy od tego, czy aplikacja jest osiągalna z Internetu.
Wymagania dotyczące certyfikatu prywatnego
Bezpłatny certyfikat zarządzany przez usługę App Service i certyfikat usługi App Service spełniają już wymagania usługi App Service. Jeśli zdecydujesz się przekazać lub zaimportować certyfikat prywatny do usługi App Service, certyfikat musi spełniać następujące wymagania:
- Wyeksportowany jako plik PFX chroniony hasłem, zaszyfrowany przy użyciu potrójnego des
- Zawiera klucz prywatny o długości co najmniej 2048 bitów
- Zawiera wszystkie certyfikaty pośrednie i certyfikat główny w łańcuchu certyfikatów
Jeśli chcesz zabezpieczyć domenę niestandardową w powiązaniu protokołu TLS, certyfikat musi spełniać następujące dodatkowe wymagania:
- Zawiera rozszerzone użycie klucza na potrzeby uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1)
- Podpisany przez zaufany urząd certyfikacji
Uwaga
Certyfikaty kryptografii krzywej eliptycznej (ECC) działają z usługą App Service, ale nie zostały omówione w tym artykule. Aby uzyskać szczegółowe instrukcje tworzenia certyfikatów ECC, należy pracować z urzędem certyfikacji.
Uwaga
Po dodaniu certyfikatu prywatnego do aplikacji certyfikat jest przechowywany w jednostce wdrażania powiązanej z grupą zasobów, regionem i kombinacją systemu operacyjnego planu usługi App Service, nazywaną wewnętrznie przestrzenią internetową. Dzięki temu certyfikat jest dostępny dla innych aplikacji w tej samej grupie zasobów, regionie i kombinacji systemu operacyjnego. Prywatne certyfikaty przekazane lub zaimportowane do usługi App Service są współużytkowane z usługami App Services w tej samej lekcji wdrażania.
Możesz dodać maksymalnie 1000 prywatnych certyfikatów na przestrzeń internetową.
Tworzenie bezpłatnego certyfikatu zarządzanego
Bezpłatny certyfikat zarządzany przez usługę App Service to przełomowe rozwiązanie ułatwiające zabezpieczanie niestandardowej nazwy DNS w usłudze App Service. Bez żadnej akcji ten certyfikat serwera TLS/SSL jest w pełni zarządzany przez usługę App Service i jest automatycznie odnawiany w sposób ciągły w sześciu miesiącach przyrostów, 45 dni przed wygaśnięciem, o ile wymagania wstępne skonfigurowane pozostają takie same. Wszystkie skojarzone powiązania są aktualizowane przy użyciu odnowionego certyfikatu. Utworzysz i powiążesz certyfikat z domeną niestandardową, a usługa App Service zrobi resztę.
Ważne
Przed utworzeniem bezpłatnego certyfikatu zarządzanego upewnij się, że zostały spełnione wymagania wstępne aplikacji.
Bezpłatne certyfikaty są wystawiane przez firmę DigiCert. W przypadku niektórych domen należy jawnie zezwolić firmie DigiCert na wystawcę certyfikatów, tworząc rekord domeny CAA z wartością : 0 issue digicert.com
.
Platforma Azure w pełni zarządza certyfikatami w Twoim imieniu, więc każdy aspekt certyfikatu zarządzanego, w tym wystawca główny, może ulec zmianie w dowolnym momencie. Te zmiany wykraczają poza twoją kontrolę. Pamiętaj, aby uniknąć twardych zależności i "przypinanie" certyfikatów praktyk do zarządzanego certyfikatu lub dowolnej części hierarchii certyfikatów. Jeśli potrzebujesz zachowania przypinania certyfikatu, dodaj certyfikat do domeny niestandardowej przy użyciu dowolnej innej dostępnej metody w tym artykule.
Bezpłatny certyfikat ma następujące ograniczenia:
- Nie obsługuje certyfikatów z symbolami wieloznacznymi.
- Nie obsługuje użycia jako certyfikatu klienta przy użyciu odcisku palca certyfikatu, który jest planowany do wycofania i usunięcia.
- Nie obsługuje prywatnego systemu DNS.
- Nie można eksportować.
- Nie jest obsługiwana w środowisku App Service Environment.
- Obsługuje tylko znaki alfanumeryczne, kreski (-) i kropki (.).
- Obsługiwane są tylko domeny niestandardowe o długości do 64 znaków.
- Musi mieć rekord A wskazujący adres IP aplikacji internetowej.
- Musi znajdować się w aplikacjach, które są publicznie dostępne.
- Nie jest obsługiwana w przypadku domen głównych zintegrowanych z usługą Traffic Manager.
- Musi spełniać wszystkie powyższe wymagania dotyczące pomyślnego wystawiania i odnawiania certyfikatów.
W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.
W menu nawigacji aplikacji wybierz pozycję Certyfikaty. W okienku Zarządzane certyfikaty wybierz pozycję Dodaj certyfikat.
Wybierz domenę niestandardową dla bezpłatnego certyfikatu, a następnie wybierz pozycję Weryfikuj. Po zakończeniu walidacji wybierz pozycję Dodaj. Dla każdej obsługiwanej domeny niestandardowej można utworzyć tylko jeden zarządzany certyfikat.
Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Zarządzane certyfikaty .
Aby zapewnić bezpieczeństwo domeny niestandardowej przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.
Importowanie certyfikatu usługi App Service
Aby zaimportować certyfikat usługi App Service, najpierw kup i skonfiguruj certyfikat usługi App Service, a następnie wykonaj kroki opisane tutaj.
W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.
Z menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Dodaj certyfikat.
W obszarze Źródło wybierz pozycję Importuj certyfikat usługi App Service.
W obszarze Certyfikat usługi App Service wybierz właśnie utworzony certyfikat.
W polu Przyjazna nazwa certyfikatu nadaj certyfikatowi nazwę w aplikacji.
Wybierz Potwierdź. Po pomyślnym zakończeniu walidacji wybierz pozycję Dodaj.
Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ).
Aby zabezpieczyć domenę niestandardową przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.
Importowanie certyfikatu z usługi Key Vault
Jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami, możesz zaimportować certyfikat PKCS12 do usługi App Service z usługi Key Vault, jeśli spełniasz wymagania.
Autoryzowanie usługi App Service do odczytu z magazynu
Domyślnie dostawca zasobów usługi App Service nie ma dostępu do magazynu kluczy. Aby użyć magazynu kluczy do wdrożenia certyfikatu, musisz autoryzować dostęp do odczytu dostawcy zasobów (App Service) do magazynu kluczy. Dostęp można udzielić za pomocą zasad dostępu lub kontroli dostępu opartej na rolach.
Dostawca zasobów | Identyfikator aplikacji jednostki usługi / przypisanie | Rola RBAC magazynu kluczy |
---|---|---|
Microsoft aplikacja systemu Azure Service lub Microsoft.Azure.WebSites | - abfa0a7c-a6b6-4736-8310-5855508787cd dla środowiska chmury publicznej platformy Azure - 6a02c803-dafd-4136-b4c3-5a6f318b4714 dla środowiska chmury platformy Azure Government |
Użytkownik certyfikatu |
Identyfikator aplikacji jednostki usługi lub wartość przypisywania jest identyfikatorem dostawcy zasobów usługi App Service. Aby dowiedzieć się, jak autoryzować uprawnienia magazynu kluczy dla dostawcy zasobów usługi App Service przy użyciu zasad dostępu, zobacz dokumentację zapewniania dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault przy użyciu dokumentacji kontroli dostępu opartej na rolach platformy Azure.
Uwaga
Nie usuwaj tych uprawnień RBAC z magazynu kluczy. Jeśli to zrobisz, usługa App Service nie będzie mogła zsynchronizować aplikacji internetowej z najnowszą wersją certyfikatu magazynu kluczy.
Importowanie certyfikatu z magazynu do aplikacji
W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.
Z menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Dodaj certyfikat.
W obszarze Źródło wybierz pozycję Importuj z usługi Key Vault.
Wybierz pozycję Wybierz certyfikat magazynu kluczy.
Aby ułatwić wybranie certyfikatu, skorzystaj z poniższej tabeli:
Ustawienie opis Subskrypcja Subskrypcja skojarzona z magazynem kluczy. Magazyn kluczy Magazyn kluczy, który ma certyfikat, który chcesz zaimportować. Certyfikat Z tej listy wybierz certyfikat PKCS12 znajdujący się w magazynie. Wszystkie certyfikaty PKCS12 w magazynie są wyświetlane z odciskami palca, ale nie wszystkie są obsługiwane w usłudze App Service. Po zakończeniu zaznaczenia wybierz pozycję Wybierz, Zweryfikuj, a następnie dodaj.
Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ). Jeśli importowanie zakończy się niepowodzeniem z powodu błędu, certyfikat nie spełnia wymagań usługi App Service.
Uwaga
Jeśli zaktualizujesz certyfikat w usłudze Key Vault przy użyciu nowego certyfikatu, usługa App Service automatycznie synchronizuje certyfikat w ciągu 24 godzin.
Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.
Przekazywanie certyfikatu prywatnego
Po otrzymaniu certyfikatu od dostawcy certyfikatu przygotuj go do korzystania z usługi App Service, wykonując kroki opisane w tej sekcji.
Scalanie certyfikatów pośrednich
Jeśli urząd certyfikacji daje wiele certyfikatów w łańcuchu certyfikatów, należy scalić certyfikaty zgodnie z tą samą kolejnością.
W edytorze tekstów otwórz każdy odebrany certyfikat.
Aby zapisać scalony certyfikat, utwórz plik o nazwie mergedcertificate.crt.
Skopiuj zawartość dla każdego certyfikatu do tego pliku. Pamiętaj, aby postępować zgodnie z sekwencją certyfikatów określoną przez łańcuch certyfikatów, zaczynając od certyfikatu i kończąc na certyfikacie głównym, na przykład:
-----BEGIN CERTIFICATE----- <your entire Base64 encoded SSL certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 1> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 2> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded root certificate> -----END CERTIFICATE-----
Eksportowanie scalonego certyfikatu prywatnego do pliku PFX
Teraz wyeksportuj scalony certyfikat TLS/SSL z kluczem prywatnym, który został użyty do wygenerowania żądania certyfikatu. Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, utworzono plik klucza prywatnego.
Uwaga
Protokół OpenSSL w wersji 3 zmienił domyślny szyfr z 3DES na AES256, ale można go zastąpić w wierszu polecenia: -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. Protokół OpenSSL w wersji 1 używa formatu 3DES jako domyślnego, dlatego wygenerowane pliki PFX są obsługiwane bez żadnych specjalnych modyfikacji.
Aby wyeksportować certyfikat do pliku PFX, uruchom następujące polecenie, ale zastąp symbole zastępcze private-key-file i <merged-certificate-file>> ścieżkami do klucza prywatnego i scalonego pliku certyfikatu.<
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>
Po wyświetleniu monitu określ hasło dla operacji eksportowania. Po przekazaniu certyfikatu TLS/SSL do usługi App Service później należy podać to hasło.
Jeśli użyto usług IIS lub Certreq.exe do wygenerowania żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.
Przekazywanie certyfikatu do usługi App Service
Teraz możesz przekazać certyfikat do usługi App Service.
W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.
W menu nawigacji aplikacji wybierz pozycję Certyfikaty Przynieś własne certyfikaty>(pfx)>Przekaż certyfikat.
Aby ułatwić przekazanie certyfikatu pfx, użyj poniższej tabeli:
Ustawienie opis Plik certyfikatu PFX Wybierz plik pfx. Hasło certyfikatu Wprowadź hasło utworzone podczas eksportowania pliku PFX. Przyjazna nazwa certyfikatu Nazwa certyfikatu, która będzie wyświetlana w aplikacji internetowej. Po zakończeniu zaznaczenia wybierz pozycję Wybierz, Zweryfikuj, a następnie dodaj.
Po zakończeniu operacji certyfikat zostanie wyświetlony na liście Bring your own certificates (Przynieś własne certyfikaty ).
Aby zapewnić bezpieczeństwo domeny niestandardowej przy użyciu tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu. Wykonaj kroki opisane w artykule Zabezpieczanie niestandardowej nazwy DNS z powiązaniem TLS/SSL w usłudze aplikacja systemu Azure Service.
Przekazywanie certyfikatu publicznego
Certyfikaty publiczne są obsługiwane w formacie .cer .
Uwaga
Po przekazaniu certyfikatu publicznego do aplikacji jest on dostępny tylko dla aplikacji, do której jest przekazywany. Certyfikaty publiczne muszą być przekazywane do każdej pojedynczej aplikacji internetowej, która wymaga dostępu. W przypadku scenariuszy specyficznych dla środowiska App Service Environment zapoznaj się z dokumentacją dotyczącą certyfikatów i środowiska App Service Environment.
Możesz przekazać maksymalnie 1000 certyfikatów publicznych na plan usługi App Service.
W witrynie Azure Portal z menu po lewej stronie wybierz pozycję Nazwa> aplikacji usługi App Services<>.
Z menu nawigacji aplikacji wybierz pozycję Certyfikaty certyfikatów certyfikatów>klucza publicznego (.cer)>Dodaj certyfikat.
Aby ułatwić przekazanie certyfikatu .cer, skorzystaj z poniższej tabeli:
Ustawienie opis Plik certyfikatu CER Wybierz plik .cer. Przyjazna nazwa certyfikatu Nazwa certyfikatu, która będzie wyświetlana w aplikacji internetowej. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj.
Po przekazaniu certyfikatu skopiuj odcisk palca certyfikatu, a następnie przejrzyj pozycję Udostępnij certyfikat.
Odnawianie wygasającego certyfikatu
Przed wygaśnięciem certyfikatu upewnij się, że dodano odnowiony certyfikat do usługi App Service i zaktualizuj wszystkie powiązania certyfikatów, w których proces zależy od typu certyfikatu. Na przykład certyfikat zaimportowany z usługi Key Vault, w tym certyfikat usługi App Service, jest automatycznie synchronizowany z usługą App Service co 24 godziny i aktualizuje powiązanie TLS/SSL podczas odnawiania certyfikatu. W przypadku przekazanego certyfikatu nie ma automatycznej aktualizacji powiązania. W zależności od scenariusza przejrzyj odpowiednią sekcję:
- Odnawianie przekazanego certyfikatu
- Odnawianie certyfikatu usługi App Service
- Odnawianie certyfikatu zaimportowanego z usługi Key Vault
Odnawianie przekazanego certyfikatu
Po zastąpieniu wygasającego certyfikatu sposób aktualizowania powiązania certyfikatu nowym certyfikatem może negatywnie wpłynąć na środowisko użytkownika. Na przykład adres IP dla ruchu przychodzącego może ulec zmianie po usunięciu powiązania, nawet jeśli to powiązanie jest oparte na adresie IP. Ten wynik jest szczególnie istotny podczas odnawiania certyfikatu, który jest już w powiązaniu opartym na adresach IP. Aby uniknąć zmiany adresu IP aplikacji i uniknąć przestoju aplikacji z powodu błędów protokołu HTTPS, wykonaj następujące kroki w określonej sekwencji:
Przejdź do strony Domeny niestandardowe dla aplikacji, wybierz przycisk ... , a następnie wybierz pozycję Aktualizuj powiązanie.
Wybierz nowy certyfikat, a następnie wybierz pozycję Aktualizuj.
Usuń istniejący certyfikat.
Odnawianie certyfikatu zaimportowanego z usługi Key Vault
Uwaga
Aby odnowić certyfikat usługi App Service, zobacz Odnawianie certyfikatu usługi App Service.
Aby odnowić certyfikat zaimportowany do usługi App Service z usługi Key Vault, zapoznaj się z artykułem Odnawianie certyfikatu usługi Azure Key Vault.
Po odnowieniu certyfikatu w magazynie kluczy usługa App Service automatycznie synchronizuje nowy certyfikat i aktualizuje wszelkie odpowiednie powiązania certyfikatu w ciągu 24 godzin. Aby przeprowadzić synchronizację ręcznie, wykonaj następujące kroki:
Przejdź do strony Certyfikat aplikacji.
W obszarze Bring your own certificates (.pfx) wybierz przycisk ... dla zaimportowanego certyfikatu magazynu kluczy, a następnie wybierz pozycję Synchronizuj.
Często zadawane pytania
Jak zautomatyzować dodawanie własnego certyfikatu do aplikacji?
- Interfejs wiersza polecenia platformy Azure: wiązanie niestandardowego certyfikatu TLS/SSL z aplikacją internetową
- Azure PowerShell: wiązanie niestandardowego certyfikatu TLS/SSL z aplikacją internetową przy użyciu programu PowerShell
Czy mogę użyć certyfikatu prywatnego urzędu certyfikacji (urzędu certyfikacji) dla przychodzącego protokołu TLS w mojej aplikacji?
Możesz użyć prywatnego certyfikatu urzędu certyfikacji dla przychodzącego protokołu TLS w środowisku App Service Environment w wersji 3. Nie jest to możliwe w usłudze App Service (wielodostępnej). Aby uzyskać więcej informacji na temat wielodostępnej usługi App Service i pojedynczej dzierżawy, zobacz Porównanie publicznej wielodostępnej usługi App Service Environment w wersji 3 i App Service.
Czy można wykonywać wywołania wychodzące przy użyciu certyfikatu klienta prywatnego urzędu certyfikacji z mojej aplikacji?
Jest to obsługiwane tylko w przypadku aplikacji kontenerów systemu Windows w wielodostępnej usłudze App Service. Ponadto można wykonywać wywołania wychodzące przy użyciu certyfikatu klienta prywatnego urzędu certyfikacji zarówno z aplikacjami opartymi na kodzie, jak i opartymi na kontenerach w środowisku App Service Environment w wersji 3. Aby uzyskać więcej informacji na temat wielodostępnej usługi App Service i pojedynczej dzierżawy, zobacz Porównanie publicznej wielodostępnej usługi App Service Environment w wersji 3 i App Service.
Czy mogę załadować certyfikat prywatnego urzędu certyfikacji w zaufanym magazynie głównym usługi App Service?
Możesz załadować własny certyfikat urzędu certyfikacji do zaufanego głównego magazynu w środowisku App Service Environment w wersji 3. Nie można zmodyfikować listy zaufanych certyfikatów głównych w usłudze App Service (wielodostępnej). Aby uzyskać więcej informacji na temat wielodostępnej usługi App Service i pojedynczej dzierżawy, zobacz Porównanie publicznej wielodostępnej usługi App Service Environment w wersji 3 i App Service.