Konfigurera säkerhetscertifikat

  • 4 minuter

Du har blivit ombedd att hjälpa till att skydda information som överförs mellan företagets app och kunden. Azure App Service har verktyg som gör att du kan skapa, ladda upp eller importera ett privat certifikat eller ett offentligt certifikat till App Service.

Ett certifikat som laddas upp till en app lagras i en distributionsenhet som är bunden till apptjänstplanens resursgrupp och regionkombination (internt kallad en webbrymd). Detta gör certifikatet tillgängligt för andra appar i samma resursgrupp och regionkombination.

Tabellen nedan beskriver de alternativ du har för att lägga till certifikat i App Service:

Alternativ Description
Skapa ett kostnadsfritt Hanterat App Service-certifikat Ett privat certifikat som är kostnadsfritt och enkelt att använda om du bara behöver skydda din anpassade domän i App Service.
Köpa ett App Service-certifikat Ett privat certifikat som hanteras av Azure. Den kombinerar enkelheten i automatiserad certifikathantering och flexibiliteten med förnyelse- och exportalternativ.
Importera ett certifikat från Key Vault Användbart om du använder Azure Key Vault för att hantera dina certifikat.
Ladda upp ett privat certifikat Om du redan har ett privat certifikat från en tredjepartsleverantör kan du ladda upp det.
Ladda upp ett offentligt certifikat Offentliga certifikat används inte för att skydda anpassade domäner, men du kan läsa in dem i koden om du behöver dem för att få åtkomst till fjärrresurser.

Krav för privata certifikat

Det kostnadsfria App Service-hanterade certifikatet och App Service-certifikatet uppfyller redan kraven i App Service. Om du vill använda ett privat certifikat i App Service måste certifikatet uppfylla följande krav:

  • Exporteras som en lösenordsskyddad PFX-fil, krypterad med triple DES.
  • Innehåller privat nyckel minst 2048 bitar lång.
  • Innehåller alla mellanliggande certifikat och rotcertifikatet i certifikatkedjan.

För att skydda en anpassad domän i en TLS-bindning har certifikatet andra krav:

  • Innehåller en utökad nyckelanvändning för serverautentisering (OID = 1.3.6.1.5.5.7.3.1)
  • Registrerat av en betrodd certifikatutfärdare.

Skapa ett kostnadsfritt hanterat certifikat

Om du vill skapa anpassade TLS/SSL-bindningar eller aktivera klientcertifikat för din App Service-app måste Din App Service-plan ligga på nivån Basic, Standard, Premium eller Isolerad .

Det kostnadsfria Hanterade App Service-certifikatet är en nyckelfärdig lösning för att skydda ditt anpassade DNS-namn i App Service. Det är ett TLS/SSL-servercertifikat som hanteras helt av App Service och förnyas kontinuerligt och automatiskt i sex månaders steg, 45 dagar innan det upphör att gälla. Du skapar certifikatet och binder det till en anpassad domän och låter App Service göra resten.

Viktigt!

Innan du skapar ett kostnadsfritt hanterat certifikat kontrollerar du att du uppfyller kraven för din app. Kostnadsfria certifikat utfärdas av DigiCert. För vissa domäner måste du uttryckligen tillåta DigiCert som certifikatutfärdare genom att skapa en CAA-domänpost med värdet : 0 issue digicert.com. Azure hanterar certifikaten helt åt dig, så alla aspekter av det hanterade certifikatet, inklusive rotutfärdaren, kan ändras när som helst. Dessa ändringar ligger utanför din kontroll. Se till att undvika hårda beroenden och "fästa" övningscertifikat till det hanterade certifikatet eller någon del av certifikathierarkin.

Det kostnadsfria certifikatet har följande begränsningar:

  • Stöder inte jokerteckencertifikat.
  • Stöder inte användning som ett klientcertifikat med hjälp av certifikatets tumavtryck, som planeras för utfasning och borttagning.
  • Stöder inte privat DNS.
  • Går inte att exportera.
  • Stöds inte i en App Service-miljön (ASE).
  • Stöder endast alfanumeriska tecken, bindestreck (-) och punkter (.).
  • Endast anpassade domäner med en längd på upp till 64 tecken stöds.

Importera ett App Service-certifikat

Om du köper ett App Service-certifikat från Azure hanterar Azure följande uppgifter:

  • Tar hand om inköpsprocessen från certifikatleverantören.
  • Utför domänverifiering av certifikatet.
  • Underhåller certifikatet i Azure Key Vault.
  • Hanterar certifikatförnyelse.
  • Synkronisera certifikatet automatiskt med de importerade kopiorna i App Service-appar.

Om du redan har ett fungerande App Service-certifikat kan du:

  • Importera certifikatet till App Service.
  • Hantera certifikatet, till exempel förnya, nyckela om och exportera det.

Kommentar

App Service-certifikat stöds inte i Azure National Clouds just nu.