配置安全证书
你需要帮助保护在你的公司应用和客户之间传输的信息。 Azure 应用服务提供了一些工具,让你可以创建、上传专用证书或公共证书或将其导入到应用服务中。
上传到应用的证书存储在与应用服务计划的资源组和区域组合(在内部称为“Web 空间”)绑定的部署单元中。 这使得相应证书可供相同资源组和区域组合中的其他应用访问。
下表详细说明了用于在应用服务中添加证书的选项:
| 选项 | 说明 |
|---|---|
| 创建免费应用服务托管证书 | 免费且易于使用的专用证书,用于只需保护应用服务中的自定义域的情形。 |
| 购买应用服务证书 | 由 Azure 管理的私有证书。 它结合了自动化证书管理的简单性以及续订和导出选项的灵活性。 |
| 导入来自 Key Vault 的证书 | 如果使用 Azure Key Vault 来管理证书,则此选项很有用。 |
| 上传私有证书 | 如果你已有第三方提供商提供的私有证书,则可以上传它。 |
| 上传公用证书 | 公用证书不用于保护自定义域,但可以将其加载到代码中(如果需要它们来访问远程资源)。 |
私有证书要求
免费的应用服务托管证书和应用服务证书已满足应用服务的要求。 如果要在应用服务中使用专用证书,则证书必须满足以下要求:
- 导出为受密码保护的 PFX 文件(使用三重 DES 进行加密)。
- 包含长度至少为 2048 位的私钥。
- 包含证书链中的所有中间证书和根证书。
若要保护 TLS 绑定中的自定义域,证书还有其他要求:
- 包含用于服务器身份验证的扩展密钥用法 (OID = 1.3.6.1.5.5.7.3.1)
- 已由受信任的证书颁发机构签名
创建免费托管证书
若要为应用服务应用创建自定义 TLS/SSL 绑定或启用客户端证书,应用服务计划必须位于“基本”、“标准”、“高级”或“独立”层。
免费应用服务托管证书是用于保护应用服务中的自定义 DNS 名称的统包解决方案。 它是一种完全由应用服务托管的 TLS/SSL 服务器证书,在到期前 45 天以 6 个月为增量自动持续续订。 你创建证书并将其绑定到自定义域,然后让应用服务执行其余操作。
重要
在创建免费托管证书之前,请先确保已满足应用的先决条件。 免费证书由 DigiCert 颁发。 对于某些域,必须通过创建值为 0 issue digicert.com 的 CAA 域记录显式允许 DigiCert 作为证书颁发者。 Azure 代表你完全管理证书,因此可以随时更改托管证书的任何方面(包括根证书颁发者)。 这些更改不受你控制。 请确保避免硬性依赖和将做法证书“固定”到托管证书或证书层次结构的任何部分。
免费证书具有以下限制:
- 不支持通配符证书。
- 不支持使用已计划弃用和删除的证书指纹作为客户端证书。
- 不支持专用 DNS。
- 不可导出。
- 在应用服务环境 (ASE) 中不受支持。
- 仅支持字母数字字符、破折号 (-) 和句点 (.)。
- 仅支持长度不超过 64 个字符的自定义域。
导入应用服务证书
如果从 Azure 购买应用服务证书,Azure 将管理以下任务:
- 负责证书提供程序的购买流程。
- 对证书执行域验证。
- 将证书保留在 Azure Key Vault 中。
- 管理证书续订。
- 在应用服务应用中自动将证书与导入的副本同步。
如果你已有一个有效的应用服务证书,则可以:
- 将证书导入到应用服务中。
- 管理证书,如对其进行续订、重新生成密钥和导出。
注意
目前,Azure 国家云不支持应用服务证书。