Vytvoření a správa certifikátu služby App Service pro vaši webovou aplikaci

Tento článek ukazuje, jak vytvořit certifikát služby App Service a spravovat ho (například obnovení, synchronizaci a odstranění). Jakmile máte certifikát služby App Service, můžete ho naimportovat do aplikace App Service. Certifikát služby App Service je privátní certifikát, který spravuje Azure. Kombinuje jednoduchost automatizované správy certifikátů a flexibilitu možností obnovení a exportu.

Pokud si koupíte certifikát služby App Service z Azure, Azure spravuje následující úlohy:

• Zpracovává proces nákupu od GoDaddy.
• Provede ověření domény certifikátu.
• Udržuje certifikát ve službě Azure Key Vault.
• Spravuje obnovení certifikátu.
• Synchronizuje certifikát automaticky s importovanými kopiemi v aplikacích app Service.

Poznámka:

Po nahrání certifikátu do aplikace se certifikát uloží v jednotce nasazení, která je svázaná se skupinou prostředků, oblastí a operačním systémem plánu služby App Service, interně označovanou jako webspace. Certifikát je tak přístupný pro jiné aplikace ve stejné kombinaci skupin prostředků a oblastí. Certifikáty nahrané nebo importované do služby App Service se sdílí se službou App Services ve stejné jednotce nasazení.

Požadavky

• Vytvořte aplikaci App Service. Plán služby App Service aplikace musí být na úrovni Basic, Standard, Premium nebo Isolated. Informace o aktualizaci vrstvy najdete v tématu Vertikální navýšení kapacity aplikace .

Poznámka:

V současné době se v národních cloudech Azure nepodporují certifikáty služby App Service.

Zakoupení a konfigurace certifikátu služby App Service

Spuštění nákupu certifikátu

1. Přejděte na stránku pro vytvoření certifikátu služby App Service a spusťte nákup certifikátu služby App Service.

   Poznámka:

   Certifikáty služby App Service zakoupené v Azure vydává GoDaddy. U některých domén musíte explicitně povolit GoDaddy jako vystavitele certifikátu vytvořením záznamu domény CAA s hodnotou:0 issue godaddy.com

   

2. Pro usnadnění konfigurace certifikátu použijte následující tabulku. Až budete hotovi, vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

   Nastavení	Popis
   Předplatné	Předplatné Azure, které se má přidružit k certifikátu.
   Skupina prostředků	Skupina prostředků, která bude obsahovat certifikát. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat stejnou skupinu prostředků jako aplikaci App Service.
   Skladová jednotka (SKU)	Určuje typ certifikátu, který se má vytvořit, buď standardní certifikát, nebo zástupný certifikát.
   Název hostitele nahé domény	Zadejte kořenovou doménu. Vystavený certifikát zabezpečuje kořenovou i subdoménuwww. V vydaném certifikátu určuje pole Běžný název kořenovou doménu a pole Alternativní název subjektu určuje www doménu. Chcete-li zabezpečit pouze jakoukoli subdoménu, zadejte plně kvalifikovaný název domény pro subdoménu, mysubdomain.contoso.comnapříklad .
   Název certifikátu	Popisný název certifikátu služby App Service
   Povolení automatického prodlužování platnosti	Vyberte, jestli se má certifikát před vypršením platnosti automaticky obnovit. Každé prodloužení platnosti certifikátu prodlouží o jeden rok a poplatky se účtují za vaše předplatné.

3. Po dokončení nasazení vyberte Přejít k prostředku.

Uložení certifikátu ve službě Azure Key Vault

Key Vault je služba Azure, která pomáhá chránit kryptografické klíče a tajné kódy používané cloudovými aplikacemi a službami. Pro certifikáty služby App Service je úložiště podle výběru Key Vault. Po dokončení procesu nákupu certifikátu musíte před použitím tohoto certifikátu dokončit několik dalších kroků.

1. Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce certifikátu vyberte Konfigurace>certifikátu Krok 1: Uložení.

   

2. Na stránce Stav služby Key Vault vyberte Vybrat ze služby Key Vault.

3. Pokud vytvoříte nový trezor, nastavte trezor na základě následující tabulky a nezapomeňte použít stejné předplatné a skupinu prostředků jako aplikaci App Service.

   Nastavení	Popis
   Skupina prostředků	Doporučeno: Stejná skupina prostředků jako certifikát služby App Service.
   Název trezoru klíčů	Jedinečný název, který používá pouze alfanumerické znaky a pomlčky.
   Oblast	Stejné umístění jako vaše aplikace App Service
   Cenová úroveň	Informace najdete v podrobnostech o cenách služby Azure Key Vault.
   Dny pro uchovávání odstraněných trezorů	Počet dnů po odstranění, ve kterých objekty zůstanou obnovitelné (viz přehled obnovitelného odstranění ve službě Azure Key Vault). Nastavte hodnotu mezi 7 a 90.
   Ochrana před vymazáním	Zabraňuje ručnímu vymazání objektů s obnovitelně odstraněnými objekty. Povolením této možnosti vynutíte, aby všechny odstraněné objekty zůstaly ve stavu obnovitelného odstranění po celou dobu trvání doby uchovávání.

4. Vyberte Další a vyberte Zásady přístupu trezoru. Certifikáty služby App Service v současné době podporují pouze zásady přístupu ke službě Key Vault, nikoli model RBAC.

5. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

6. Po vytvoření trezoru klíčů nevybírejte Přejít k prostředku , ale počkejte , až se trezor klíčů ze stránky Služby Azure Key Vault znovu načte.

7. Zvolte Zvolit.

8. Po výběru trezoru zavřete stránku úložiště služby Key Vault. Možnost Krok 1: Store by měla zobrazovat zelenou značku zaškrtnutí, která značí úspěch. Nechte stránku otevřenou pro další krok.

Potvrzení vlastnictví domény

1. Na stejné stránce Konfigurace certifikátu v předchozí části vyberte Krok 2: Ověření.

   

2. Vyberte ověření služby App Service. Vzhledem k tomu, že jste dříve namapovali doménu na webovou aplikaci podle předpokladů, už je doména ověřená. Chcete-li dokončit tento krok, stačí vybrat Ověřit a potom vybrat Aktualizovat , dokud se nezobrazí zpráva Certifikát je Ověřená doména.

Podporují se následující metody ověření domény:

metoda	Popis
Ověření služby App Service	Nejpohodlnější možnost, když je doména už namapovaná na aplikaci App Service ve stejném předplatném, protože aplikace App Service už ověřila vlastnictví domény. Zkontrolujte poslední krok v části Potvrzení vlastnictví domény.
Ověření domény	Potvrďte doménu služby App Service, kterou jste zakoupili v Azure. Azure za vás automaticky přidá ověřovací záznam TXT a proces dokončí.
Ověření pošty	Potvrďte doménu odesláním e-mailu správci domény. Pokyny jsou k dispozici, když vyberete možnost.
Ruční ověření	Ověřte doménu pomocí záznamu DNS TXT nebo stránky HTML, která se vztahuje pouze na standardní certifikáty podle následující poznámky. Kroky jsou k dispozici po výběru možnosti. Možnost stránky HTML nefunguje u webových aplikací s povolenou možností Pouze HTTPS. Ověření domény prostřednictvím záznamu DNS TXT pro jednu kořenovou doménu (tj. "contoso.com") nebo subdoména (tj. "www.contoso.com", "test.api.contoso.com") a bez ohledu na skladovou položku certifikátu musíte přidat záznam TXT na úrovni kořenové domény pomocí znaku @pro název a ověřovací token domény pro hodnotu v záznamu DNS.

Důležité

Pomocí standardního certifikátu získáte certifikát pro požadovanou doménu nejvyšší úrovně a subdoménuwww, například contoso.com a www.contoso.com. Ověření služby App Service i ruční ověření však používají ověření stránky HTML, které nepodporuje subdoménu www při vystavování, opětovném vytvoření klíče nebo obnovení certifikátu. Pro standardní certifikát použijte ověření domény a ověření pošty k zahrnutí www subdomény s požadovanou doménou nejvyšší úrovně v certifikátu.

Jakmile je certifikát ověřený doménou, můžete ho importovat do aplikace App Service.

Prodloužení platnosti certifikátu služby App Service

Ve výchozím nastavení mají certifikáty služby App Service jednoleté období platnosti. Před a blíž k datu vypršení platnosti můžete certifikáty služby App Service automaticky nebo ručně obnovit v přírůstcích o jeden rok. Proces prodlužování platnosti efektivně poskytuje nový certifikát služby App Service s datem vypršení platnosti prodlouženým na jeden rok od data vypršení platnosti existujícího certifikátu.

Poznámka:

Od 23. září 2021 vyžadují certifikáty služby App Service ověření domény během procesu obnovení nebo opětovného vytvoření klíče. Nové pořadí certifikátů zůstane během procesu obnovení nebo opětovného vytvoření klíče v režimu čekání na vystavení, dokud neproběhne ověření domény.

Na rozdíl od bezplatného spravovaného certifikátu služby App Service není opětovné ověření domény pro certifikáty služby App Service automatizované. Ověření vlastnictví domény způsobí neúspěšné obnovení. Další informace o tom, jak ověřit certifikát služby App Service, najdete v tématu Potvrzení vlastnictví domény.

Proces obnovení vyžaduje, aby známý instanční objekt služby pro službu App Service měl požadovaná oprávnění k vašemu trezoru klíčů. Tato oprávnění jsou pro vás nastavená při importu certifikátu služby App Service prostřednictvím webu Azure Portal. Ujistěte se, že tato oprávnění neodeberete z trezoru klíčů.

1. Pokud chcete kdykoli změnit nastavení automatického prodlužování platnosti certifikátu služby App Service, vyberte certifikát na stránce Certifikáty služby App Service.

2. V nabídce vlevo vyberte automaticky obnovit Nastavení.

3. Vyberte Zapnuto nebo Vypnuto a vyberte Uložit.

   Pokud zapnete automatické prodlužování platnosti, certifikáty se můžou začít automaticky obnovovat po dobu 32 dnů před vypršením platnosti.

   

4. Pokud chcete certifikát obnovit ručně, vyberte Ruční obnovení. Můžete požádat o ruční obnovení certifikátu 60 dní před vypršením platnosti, ale maximální datum vypršení platnosti bude 397 dní.

5. Po dokončení operace obnovení vyberte Synchronizovat.

   Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.

   Poznámka:

   Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.

Opětovné vytvoření klíče a certifikátu služby App Service

Pokud se domníváte, že je privátní klíč vašeho certifikátu ohrožený, můžete certifikát znovu naklíčit. Tato akce vrátí certifikát s novým certifikátem vydaným certifikační autoritou.

1. Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce vlevo vyberte Možnost Znovu na klíč a Synchronizovat.

2. Proces spustíte tak, že vyberete Tlačítko Znovu. Dokončení tohoto procesu může trvat 1 až 10 minut.

   

3. Je také možné, že budete muset znovu potvrdit vlastnictví domény.

4. Po dokončení operace opětovného vytvoření klíče vyberte Synchronizovat.

   Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.

   Poznámka:

   Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.

Export certifikátu služby App Service

Protože certifikát služby App Service je tajný klíč služby Key Vault, můžete kopii exportovat jako soubor PFX, který můžete použít pro jiné služby Azure nebo mimo Azure.

Důležité

Exportovaný certifikát je nespravovaný artefakt. Služba App Service nesynchronizuje takové artefakty při obnovení certifikátu služby App Service. V případě potřeby je nutné vyexportovat a nainstalovat obnovený certifikát.

Azure Portal

1. Na stránce Certifikáty služby App Service vyberte certifikát.

2. V nabídce vlevo vyberte Exportovat certifikát.

3. Vyberte Otevřít tajný klíč služby Key Vault.

4. Vyberte aktuální verzi certifikátu.

5. Vyberte Stáhnout jako certifikát.

Azure CLI

V Azure Cloud Shellu spusťte následující příkazy nebo je spusťte místně, pokud jste nainstalovali Azure CLI. Zástupné symboly nahraďte názvy, které jste použili při zakoupení certifikátu služby App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Stažený soubor PFX je nezpracovaný soubor PKCS12, který obsahuje veřejné i privátní certifikáty a má heslo pro import, které je prázdné. Soubor můžete nainstalovat místně tak, že pole s heslem ponecháte prázdné. Soubor nemůžete nahrát tak, jak je, do služby App Service , protože soubor není chráněný heslem.

Odstranění certifikátu služby App Service

Pokud odstraníte certifikát služby App Service, operace odstranění je nevratná a konečná. Výsledkem je odvolaný certifikát a jakákoli vazba ve službě App Service, která tento certifikát používá, je neplatná.

1. Na stránce Certifikáty služby App Service vyberte certifikát.

2. V nabídce vlevo vyberte Odstranit přehled>.

3. Po otevření potvrzovací pole zadejte název certifikátu a vyberte OK.

Nejčastější dotazy

Certifikát služby App Service nemá ve službě Key Vault žádnou hodnotu.

Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití. Jako tajný klíč trezoru klíčů udržuje Initialize značku a její hodnota a typ obsahu zůstanou prázdné. Po potvrzení vlastnictví domény se tajný klíč trezoru klíčů zobrazí hodnotu a typ obsahu a značka se změní na Ready.

Nemůžu exportovat certifikát služby App Service pomocí PowerShellu

Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití.

Jaké změny provede proces vytvoření certifikátu služby App Service ve stávající službě Key Vault?

Proces vytvoření provede následující změny:

• Přidá do trezoru dvě zásady přístupu:
  • Microsoft.Azure.WebSites (nebo Microsoft Azure App Service)
  • Poskytovatel prostředků CSM (nebo Microsoft.Azure.CertificateRegistration) prodejce certifikátů Microsoftu
• Vytvoří zámek odstranění v trezoru s názvem: AppServiceCertificateLock aby se zabránilo náhodnému odstranění trezoru klíčů.

Další materiály

• Zabezpečení vlastního názvu DNS pomocí vazby TLS/SSL ve službě Aplikace Azure Service
• Vynucení HTTPS
• Vynucení protokolu TLS 1.1/1.2
• Použití certifikátu TLS nebo SSL v kódu ve službě Azure App Service
• Nejčastější dotazy: Certifikáty služby App Service