إنشاء شهادة App Service وإدارتها لتطبيق الويب الخاص بك

توضح هذه المقالة كيفية إنشاء شهادة App Service وإدارتها (مثل التجديد والمزامنة والحذف). بمجرد حصولك على شهادة App Service، يمكنك استيرادها إلى تطبيق App Service. شهادة App Service هي شهادة خاصة تتم إدارتها بواسطة Azure. فهي تجمع بين بساطة إدارة الشهادات الآلية، ومرونة خيارات التجديد والتصدير.

إذا قمت بشراء شهادة App Service من Azure، فإن Azure تدير المهام التالية:

• تعتني بعملية الشراء من GoDaddy.
• تقوم بالتحقق من مجال الشهادة.
• يحتفظ بالشهادة في Azure Key Vault.
• إدارة تجديد الشهادة.
• يزامن الشهادة تلقائيًا مع النسخ المستوردة في تطبيقات خدمة التطبيقات.

إشعار

بعد تحميل شهادة إلى تطبيق، يتم تخزين الشهادة في وحدة توزيع مرتبطة بمجموعة موارد خطة App Service والمنطقة وتركيبة نظام التشغيل، والتي تسمى داخليًا مساحة ويب. بهذه الطريقة، يمكن الوصول إلى الشهادة من قبل التطبيقات الأخرى في نفس مجموعة الموارد ومجموعة المنطقة. تتم مشاركة الشهادات التي تم تحميلها أو استيرادها إلى App Service مع App Services في نفس وحدة التوزيع.

المتطلبات الأساسية

• ⁧إنشاء تطبيق App Service⁧. يجب أن تكون خطة App Service للتطبيق في المستوى الأساسي أو القياسي أو المتميز أو المعزول. راجع توسيع نطاق تطبيق لتحديث المستوى.

إشعار

حاليًا، شهادات خدمة التطبيقات غير مدعومة في Azure National Clouds.

شراء شهادة App Service وتكوينها

بدء طلب الشهادة

1. انتقل إلى صفحة إنشاء شهادة خدمة التطبيقات، وابدأ عملية الشراء للحصول على شهادة App Service.

   إشعار

   يتم إصدار شهادات App Service المشتراة من Azure بواسطة GoDaddy. بالنسبة لبعض نطاقات المستوى الأعلى، يجب عليك السماح صراحةً لـ GoDaddy كمصدر شهادة عن طريق إنشاء سجل نطاق CAA بالقيمة: 0 issue godaddy.com

   

2. لمساعدتك على تكوين الشهادة، استخدم الجدول التالي. عند الانتهاء، حدد Review + Create، ثم حدد Create.

   الإعدادات	‏‏الوصف
   الاشتراك	اشتراك Azure لإقرانه بالشهادة.
   مجموعة الموارد	مجموعة الموارد التي ستتضمن الشهادة. يمكنك إما إنشاء مجموعة موارد جديدة أو تحديد نفس مجموعة الموارد مثل تطبيق App Service الخاص بك.
   SKU	تحدد نوع الشهادة المراد إنشاؤها، سواء كانت شهادة قياسية أو شهادة أحرف البدل.
   اسم مضيف المجال العاري	حدد مجال الجذر. تضمن الشهادة الصادرة كلا من المجال الجذر والنطاق www الفرعي. في الشهادة التي تم إصدارها، يحدد حقل الاسم العام المجال الجذر، ويحدد حقل الاسم البديل للموضوع المجالwww. لتأمين أي نطاق فرعي فقط، حدد اسم المجال المؤهل بالكامل للنطاق الفرعي، على سبيل المثال، mysubdomain.contoso.com.
   اسم الشهادة	اسم مألوف لشهادة App Service الخاصة بك.
   تمكين التجديد التلقائي	حدد ما إذا كنت تريد تجديد الشهادة تلقائيًا قبل انتهاء الصلاحية. يمدد كل تجديد انتهاء صلاحية الشهادة لمدة عام واحد ويتم فرض التكلفة على اشتراكك.

3. عند اكتمال النشر، حدد Go to resource.

تخزين شهادة داخل Azure Key Vault

Key Vault هي خدمة Azure تساعد على حماية مفاتيح التشفير والأسرار المستخدمة من قبل التطبيقات والخدمات السحابية. بالنسبة لشهادات App Service، يكون التخزين الذي تختاره Key Vault. بعد الانتهاء من عملية شراء الشهادة، يجب إكمال بضع خطوات أخرى قبل البدء في استخدام هذه الشهادة.

1. في صفحة App Service Certificates، حدد الشهادة. في قائمة الشهادة، حدد Certificate Configuration>Step 1: Store.

   

2. في صفحة حالة Key Vault، حدد Select from Key Vault.

3. إذا قمت بإنشاء مخزن جديد، فقم بإعداد المخزن استنادًا إلى الجدول التالي، وتأكد من استخدام نفس الاشتراك ومجموعة الموارد مثل تطبيق App Service.

   الإعدادات	‏‏الوصف
   مجموعة الموارد	موصى به: نفس مجموعة الموارد مثل شهادة خدمة التطبيق.
   اسم خزنة المفاتيح	اسم فريد يستخدم أحرف أبجدية رقمية وشرطات فقط.
   المنطقة	نفس موقع تطبيق App Service الخاص بك.
   مستوى الأسعار	للحصول على معلومات، راجع تفاصيل تسعير Azure Key Vault.
   أيام الاحتفاظ بالخزائن المحذوفة	عدد الأيام بعد الحذف، حيث تظل الكائنات قابلة للاسترداد (راجع نظرة عامة على الحذف المبدئي ل Azure Key Vault). تعيين قيمة بين 7 و90.
   الحماية من الإزالة	يمنع إزالة كائنات st المحذوفة بشكل مبدئي يدويا. يؤدي تمكين هذا الخيار إلى فرض بقاء كافة الكائنات المحذوفة في حالة حذف مبدئي طوال مدة فترة الاستبقاء.

4. حدد Next وحدد Vault access policy. حاليا، تدعم شهادات App Service نهج الوصول إلى Key Vault فقط، وليس نموذج RBAC.

5. حدد Review + create، ثم حدد Create.

6. بعد إنشاء key vault، لا تحدد Go to resource ولكن انتظر حتى تتم إعادة تحميل صفحة Select key vault من Azure Key Vault.

7. حدد تحديد.

8. بعد تحديد المخزن، أغلق صفحة مستودع Key Vault. يجب أن يعرض خيار Step 1: Store علامة اختيار خضراء تدل على نجاح الخطوة. اترك الصفحة مفتوحة للخطوة التالية.

تأكيد ملكية المجال

1. من نفس صفحة تكوين الشهادة التي استخدمتها في القسم السابق، انقر فوق الخطوة 2: تأكيد.

   

2. حدد التحقق من خدمة التطبيقات. ومع ذلك، نظرًا لأنك قمت مسبقًا بتعيين المجال لتطبيق الويب الخاص بك وفقًا للمتطلبات الأساسية، فقد تم التحقق من النطاق بالفعل. لإنهاء هذه الخطوة، ما عليك سوى تحديد التحقق، ثم حدد تحديث حتى تظهر الرسالة Certificate is Domain Verified.

يتم دعم طرق التحقق من المجال التالية:

الطريقة	‏‏الوصف
التحقق من خدمة التطبيقات	الخيار الأكثر ملاءمة عندما يكون المجال معينًا بالفعل إلى تطبيق App Service في نفس الاشتراك لأن تطبيق App Service قد تحقق بالفعل من ملكية المجال. راجع الخطوة الأخيرة في تأكيد ملكية المجال.
التحقق من المجال	قم بتأكيد مجال خدمة التطبيق الذي اشتريته من Azure. يضيف Azure سجل TXT للتحقق تلقائيًا نيابة عنك ويكمل العملية.
التحقق من البريد	قم بتأكيد المجال عن طريق إرسال بريد إلكتروني إلى مسؤول المجال. يتم توفير الإرشادات عند تحديد الخيار.
التحقق اليدوي	قم بتأكيد المجال باستخدام سجل DNS TXT أو صفحة HTML، والتي تنطبق فقط على الشهادات القياسية وفقا للملاحظة التالية. يتم توفير الخطوات بعد تحديد الخيار. لا يعمل خيار صفحة HTML مع تطبيقات الويب مع تمكين "HTTPS فقط". للتحقق من المجال عبر سجل DNS TXT لمجال الجذر (أي. "contoso.com") أو المجال الفرعي (أي. "www.contoso.com" و"test.api.contoso.com") وبغض النظر عن شهادة SKU، تحتاج إلى إضافة سجل TXT على مستوى المجال الجذر باستخدام '@' للاسم ورمز التحقق من المجال للقيمة في سجل DNS الخاص بك.

هام

باستخدام الشهادة القياسية ، تحصل على شهادة لمجال المستوى الأعلى المطلوب والمجالwww الفرعي، على سبيل المثال، contoso.com و www.contoso.com. ومع ذلك، يستخدم كل من التحقق من خدمة التطبيقات والتحقق اليدوي التحقق من صفحة HTML، والذي لا يدعم www المجال الفرعي عند إصدار شهادة أو إعادة مفتاحها أو تجديدها. بالنسبة للشهادة القياسية، استخدم التحقق من المجال والتحقق من البريد لتضمين www المجال الفرعي مع مجال المستوى الأعلى المطلوب في الشهادة.

بمجرد التحقق من صحة الشهادة، تكون جاهزا لاستيرادها إلى تطبيق App Service.

تجديد شهادة App Service

بشكل افتراضي، تتمتع شهادات App Service بصلاحية مدتها عام واحد. قبل تاريخ انتهاء الصلاحية وبالقرب منه، يمكنك تجديد شهادات خدمة التطبيقات تلقائيًا أو يدويًا بزيادات مدتها عام واحد. تمنحك عملية التجديد بشكل فعال شهادة خدمة تطبيقات جديدة مع تمديد تاريخ انتهاء الصلاحية إلى عام واحد من تاريخ انتهاء صلاحية الشهادة الحالية.

إشعار

اعتبارًا من 23 سبتمبر 2021، إذا لم تقم بالتحقق من النطاق في آخر 395 يومًا، تتطلب شهادات خدمة التطبيقات التحقق من النطاق أثناء عملية التجديد أو إعادة المفتاح. يظل طلب الشهادة الجديد في وضع "الإصدار المعلق" أثناء عملية التجديد أو إعادة المفتاح حتى تكمل التحقق من النطاق.

على عكس الشهادة المجانية المدارة من App Service، لا تتم أتمتة إعادة التحقق من المجال لشهادات App Service. يؤدي الفشل في التحقق من ملكية المجال إلى فشل عمليات التجديد. لمزيد من المعلومات حول كيفية التحقق من شهادة App Service، راجع تأكيد ملكية المجال.

تتطلب عملية التجديد أن يكون لدى كيان الخدمة المعروف جيدًا لتطبيق App Service الأذونات المطلوبة في مخزن المفاتيح لديك. يتم إعداد هذه الأذونات لك عند استيراد شهادة App Service من خلال مدخل Microsoft Azure. تأكد من عدم إزالة هذه الأذونات من مخزن المفاتيح الخاص بك.

1. لتغيير إعداد التجديد التلقائي لشهادة App Service في أي وقت، في صفحة App Service Certificates، حدد الشهادة.

2. في القائمة اليسرى، حدد إعدادات التجديد التلقائي.

3. حدد On أو Off وانقر فوق Save.

   إذا قمت بتشغيل التجديد التلقائي، يمكن أن تبدأ الشهادات في التجديد التلقائي قبل 32 يومًا من انتهاء الصلاحية.

   

4. لتجديد الشهادة يدويًا بدلاً من ذلك، حدد تجديد يدوي. يمكنك طلب تجديد شهادتك يدويا قبل 60 يوما من انتهاء الصلاحية، ولكن سيكون الحد الأقصى لتاريخ انتهاء الصلاحية 397 يوما.

5. بعد اكتمال عملية التجديد، حدد مزامنة البيانات.

   تقوم عملية المزامنة تلقائيًا بتحديث روابط اسم المضيف للشهادة في خدمة التطبيقات دون التسبب في أي توقف عن العمل لتطبيقاتك.

   إشعار

   إذا لم تنقر على مزامنة البيانات، فستقوم App Service تلقائيًا بمزامنة شهادتك في غضون 24 ساعة.

شهادة Rekey وApp Service

إذا كنت تعتقد أن المفتاح الخاص لشهادتك قد تم اختراقه، يمكنك إعادة إدخال شهادتك. يؤدي هذا الإجراء إلى تمرير الشهادة بشهادة جديدة صادرة من المرجع المصدق.

1. في صفحة App Service Certificates، حدد الشهادة. من القائمة اليسرى، حدد Rekey and Sync.

2. لبدء العملية، حدد Rekey. قد تستغرق هذه العملية من 1 إلى 10 دقائق حتى تكتمل.

   

3. قد يطلب منك أيضًا إعادة تأكيد ملكية المجال.

4. بعد اكتمال عملية إعادة المفتاح، حدد مزامنة.

   تقوم عملية المزامنة تلقائيًا بتحديث روابط اسم المضيف للشهادة في خدمة التطبيقات دون التسبب في أي توقف عن العمل لتطبيقاتك.

   إشعار

   إذا لم تنقر على مزامنة البيانات، فستقوم App Service تلقائيًا بمزامنة شهادتك في غضون 24 ساعة.

تصدير شهادة App Service

نظرًا لأن شهادة خدمة التطبيق هي سر Key Vault، يمكنك تصدير نسخة كملف PFX، والذي يمكنك استخدامه لخدمات Azure الأخرى أو خارج Azure.

هام

الشهادة المصدرة هي أداة غير مدارة. لا تقوم App Service بمزامنة هذه البيانات الاصطناعية عند تجديدشهادة App Service. يجب تصدير الشهادة المجددة وتثبيتها عند الضرورة.

مدخل Microsoft Azure

1. في صفحة App Service Certificates، حدد الشهادة.

2. في القائمة اليسرى، حدد تصدير الشهادة.

3. حدد Open Key Vault Secret.

4. حدد الإصدار الحالي للشهادة.

5. حدد تنزيل كشهادة.

Azure CLI

قم بتشغيل الأوامر التالية في Azure Cloud Shell، أو قم بتشغيلها محليا إذا قمت بتثبيت Azure CLI. استبدل العناصر النائبة بالأسماء التي استخدمتها عند ⁧⁩شراء شهادة App Service⁧⁩.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

ملف PFX الذي تم تنزيله هو ملف PKCS12 أولي يحتوي على كل من الشهادات العامة والخاصة ويحتوي على كلمة مرور استيراد سلسلة فارغة. يمكنك تثبيت الملف محليًا عن طريق ترك حقل كلمة المرور فارغًا. لا يمكنك تحميل الملف كما هو في App Service لأن الملف غير محمي بكلمة مرور.

حذف شهادة خدمة التطبيقات

إذا قمت بحذف شهادة App Service، فإن عملية الحذف لا رجعة فيها ونهائية. والنتيجة هي شهادة مبطلة، وأي ربط في خدمة التطبيقات يستخدم هذه الشهادة يصبح غير صالح.

1. في صفحة App Service Certificates، حدد الشهادة.

2. من القائمة اليسرى، حدد نظرة عامة>حذف.

3. عند فتح مربع التأكيد، أدخل اسم الشهادة، وحدد موافق.

الأسئلة المتداولة

لا تحتوي شهادة App Service على أي قيمة في Key Vault

من المرجح أن شهادة App Service الخاصة بك لا تزال لم يتم التحقق من المجال بعد. حتى يتم تأكيد ملكية المجال، تكون شهادة App Service غير جاهزة للاستخدام. كبيانات سرية لمخزن المفاتيح، فإنه يحتفظ بعلامة Initialize ، وتظل قيمته ونوع المحتوى فارغين. عند تأكيد ملكية المجال، يظهر سر key vault قيمة ونوع محتوى، وتتغير العلامة إلى Ready.

لا يمكنني تصدير شهادة App Service باستخدام PowerShell

من المرجح أن شهادة App Service الخاصة بك لا تزال لم يتم التحقق من المجال بعد. حتى يتم تأكيد ملكية المجال، تكون شهادة App Service غير جاهزة للاستخدام.

ما التغييرات التي تجريها عملية إنشاء شهادة App Service على Key Vault الحالي؟

تقوم عملية الإنشاء بإجراء التغييرات التالية:

• إضافة نهجي وصول في المخزن:
  • Microsoft.Azure.WebSites (أو Microsoft Azure App Service)
  • موفر موارد CSM لموزع شهادات Microsoft (أو Microsoft.Azure.CertificateRegistration)
• ينشئ تأمين حذف على المخزن يسمى: AppServiceCertificateLock لمنع الحذف العرضي لمخزن المفاتيح.

المزيد من الموارد

• تأمين اسم DNS مخصص مع ربط TLS/SSL في خدمة تطبيق Azure
• فرض HTTPS
• فرض TLS 1.1/1.2
• استخدام شهادة TLS/SSL في التعليمات البرمجية الخاصة بك في Azure App Service
• الأسئلة المتداولة: شهادات App Service