Přidání certifikátu TLS nebo SSL ve službě Azure App Service

Azure App Service je vysoce škálovatelná služba s automatickými opravami pro hostování webů. V tomto článku se dozvíte, jak vytvořit, nahrát nebo importovat privátní certifikát nebo veřejný certifikát do App Service.

Po přidání certifikátu do aplikace App Service aplikace nebo aplikace Function Appmůžete ZABEZPEČIT vlastní název DNS nebo ho použít ve svém kódu aplikace.

V následující tabulce jsou uvedeny možnosti pro přidávání certifikátů v App Service:

Požadavky

• Vytvořte aplikaci App Service.
• U privátního certifikátu se ujistěte, že splňuje všechny požadavky od App Service.
• Jenom bezplatný certifikát:
  • Namapujte doménu, pro kterou chcete vyApp Service certifikát. Informace najdete v tématu kurz: Mapování existujícího vlastního názvu DNS na Azure App Service.
  • V případě kořenové domény (jako je contoso.com) se ujistěte, že vaše aplikace nemá nakonfigurovaná žádná omezení IP adres . Vytvoření certifikátu i jeho pravidelné obnovení pro kořenovou doménu závisí na vaší aplikaci, která je dostupná z Internetu.

Požadavky na privátní certifikát

Bezplatný App Service spravovaný certifikát a certifikát App Service již splňují požadavky App Service. Pokud se rozhodnete odeslat nebo importovat privátní certifikát do App Service, musí váš certifikát splňovat následující požadavky:

• Exportováno jako soubor PFX chráněný heslemzašifrovaný pomocí algoritmu Triple DES.
• Obsahuje privátní klíč dlouhý alespoň 2 048 bitů
• Obsahuje všechny zprostředkující certifikáty a kořenový certifikát v řetězu certifikátů.

K zabezpečení vlastní domény ve vazbě TLS má certifikát další požadavky:

• Obsahuje rozšířené použití klíče pro ověřování serveru (OID = 1.3.6.1.5.5.7.3.1).
• Podepsaný důvěryhodnou certifikační autoritou

Příprava webové aplikace

Pokud chcete vytvořit vlastní vazby TLS/SSL nebo povolit klientské certifikáty pro aplikaci App Service, musí být plán App Service na úrovni Basic, Standard, Premium nebo Isolated . V tomto kroku se ujistíte, že je vaše webová aplikace na podporované cenové úrovni.

Přihlášení k Azure

Otevřete Azure Portal.

Přechod do webové aplikace

Vyhledejte a vyberte App Services.

Na stránce App Services vyberte název vaší webové aplikace.

Vyložili jste na stránce pro správu vaší webové aplikace.

Kontrola cenové úrovně

V levém navigačním panelu na stránce webové aplikace se posuňte do části Nastavení a vyberte Vertikálně navýšit kapacitu (plán služby App Service).

Zkontrolujte, že vaše webová aplikace není na úrovni F1 nebo D1. Aktuální úroveň webové aplikace je zvýrazněná tmavě modrým rámečkem.

Na úrovni F1 a D1 se nepodporuje vlastní SSL. Pokud potřebujete vertikálně navýšit kapacitu, postupujte podle kroků v další části. V opačném případě zavřete stránku horizontálního navýšení kapacity a přeskočte část navýšení kapacity schématu App Service .

Vertikální navýšení kapacity plánu služby App Service

Vyberte některou z placených úrovní (B1, B2, B3 nebo kteroukoli úroveň v kategorii Produkční). Další možnosti se zobrazí po kliknutí na odkaz Zobrazit další možnosti.

Klikněte na Použít.

Až se zobrazí následující oznámení, operace škálování je dokončená.

Vytvoření bezplatného spravovaného certifikátu

Bezplatný App Service spravovaný certifikát představuje řešení pro zabezpečení vlastního názvu DNS v App Service. Jedná se o certifikát serveru TLS/SSL, který je plně spravovaný pomocí App Service a který se automaticky obnovuje po šesti měsících, 45 dní před vypršením platnosti. Vytvoříte certifikát a svážete ho s vlastní doménou a umožníte App Service udělat zbytek.

Bezplatný certifikát přináší následující omezení:

• Nepodporuje certifikáty se zástupnými znaky.
• Nepodporuje využití jako klientský certifikát pomocí kryptografického otisku certifikátu (odebrání kryptografického otisku certifikátu je plánované).
• Nelze exportovat.
• Není podporován na App Service není veřejně přístupný.
• Není podporován v App Service Environment (pomocného mechanismu).
• Není podporován u kořenových domén, které jsou integrovány s Traffic Manager.
• Pokud je certifikát pro doménu mapovanou od CNAME, musí být tento záznam CNAME namapovaný přímo na <app-name>.azurewebsites.net .

V Azure Portalv nabídce vlevo vyberte App Services > <app-name> .

V levém navigačním panelu aplikace vyberte Nastavení TLS/SSL > certifikáty privátních klíčů (. pfx) > vytvořit App Service spravovaný certifikát.

Vyberte vlastní doménu, pro kterou chcete vytvořit bezplatný certifikát, a vyberte vytvořit. Pro každou podporovanou vlastní doménu můžete vytvořit jenom jeden certifikát.

Po dokončení operace se certifikát zobrazí v seznamu certifikáty privátního klíče .

Import App Service Certificate

Pokud si koupíte App Service Certificate z Azure, Azure spravuje následující úlohy:

• Zabere se v potaz proces nákupu od GoDaddy.
• Provede ověření domény certifikátu.
• Udržuje certifikát v Azure Key Vault.
• Spravuje obnovování certifikátů (viz obnovení certifikátu).
• Synchronizujte certifikát automaticky pomocí importovaných kopií v aplikacích App Service.

Pokud si chcete koupit certifikát App Service, pokračujte na začátek pořadí certifikátů.

Pokud již máte funkční App Service certifikát, můžete:

• Importujte certifikát do App Service.
• Spravujte certifikát, jako je například obnovení, opětovné vytvoření klíče a jeho export.

Spustit pořadí certifikátů

Na stránce vytvoření App Service Certificatespusťte App Service pořadí certifikátů.

Pomocí následující tabulky můžete nakonfigurovat certifikát. Jakmile budete hotovi, klikněte na Vytvořit.

Uložit v Azure Key Vault

Po dokončení procesu nákupu certifikátů je potřeba provést několik dalších kroků, než budete moct tento certifikát začít používat.

Vyberte certifikát na stránce App Service certifikáty a pak klikněte na Konfigurace certifikátu > Krok 1: Store.

Key Vault je služba Azure, která pomáhá chránit kryptografické klíče a tajné klíče používané v cloudových aplikacích a službách. Je to úložiště, které je vhodné pro App Service certifikátů.

Na stránce stav Key Vault klikněte na úložiště Key Vault a vytvořte nový trezor nebo vyberte existující trezor. Pokud se rozhodnete vytvořit nový trezor, použijte následující tabulku, která vám pomůžete nakonfigurovat trezor a kliknout na vytvořit. Vytvoří novou Key Vault v rámci stejného předplatného a skupiny prostředků jako aplikace App Service.

Po výběru trezoru zavřete stránku Key Vault úložiště . V části Krok 1: úložiště by se měla zobrazit zelená značka zaškrtnutí u možnosti úspěch. Nechejte stránku otevřenou pro další krok.

Ověření vlastnictví domény

Ze stejné stránky Konfigurace certifikátu , kterou jste použili v posledním kroku, klikněte na Krok 2: ověření.

Vyberte ověřování App Service. Vzhledem k tomu, že jste už namapovali doménu na webovou aplikaci (viz požadavky), je už ověřená. Stačí kliknout na ověřit , aby se tento krok dokončil. Klikněte na tlačítko aktualizovat , dokud se nezobrazí certifikát zprávy ověřená doména .

Importovat certifikát do App Service

V Azure Portalv nabídce vlevo vyberte App Services > <app-name> .

V levém navigačním panelu aplikace vyberte možnost Nastavení TLS/SSL > importovat certifikát privátního klíče (. pfx) > App Service Certificate.

Vyberte certifikát, který jste právě koupili, a vyberte OK.

Po dokončení operace se certifikát zobrazí v seznamu certifikáty privátního klíče .

Importovat certifikát z Key Vault

Pokud používáte Azure Key Vault ke správě certifikátů, můžete importovat certifikát PKCS12 z Key Vault do App Service, pokud splňuje požadavky.

Autorizovat App Service ke čtení z trezoru

Ve výchozím nastavení poskytovatel prostředků App Service nemá přístup k Key Vault. Aby bylo možné použít Key Vault pro nasazení certifikátu, je nutné autorizovat poskytovatele prostředků na přístup k trezoruklíčů.

abfa0a7c-a6b6-4736-8310-5855508787cd je hlavní název služby poskytovatele prostředků pro App Service a je stejný pro všechna předplatná Azure. V případě Azure Government cloudového prostředí použijte 6a02c803-dafd-4136-b4c3-5a6f318b4714 místo toho jako hlavní název služby poskytovatele prostředků.

Import certifikátu z vašeho trezoru do aplikace

V Azure Portalv nabídce vlevo vyberte App Services > <app-name> .

V levém navigačním panelu aplikace vyberte možnost Nastavení TLS/SSL > importovat certifikáty privátního klíče (. pfx) > Key Vault certifikát.

Pomocí následující tabulky můžete vybrat certifikát.

Po dokončení operace se certifikát zobrazí v seznamu certifikáty privátního klíče . Pokud import selhává s chybou, certifikát nesplňuje požadavky pro App Service.

Upload privátní certifikát

Jakmile obdržíte certifikát od poskytovatele certifikátů, postupujte podle kroků v této části, aby byl připravený na App Service.

Sloučení zprostředkujících certifikátů

Pokud jste v řetězu certifikátů od své certifikační autority obdrželi více certifikátů, musíte certifikáty sloučit v daném pořadí.

Pokud to chcete provést, otevřete všechny obdržené certifikáty v textovém editoru.

Vytvořte soubor mergedcertificate.crt pro sloučený certifikát. V textovém editoru zkopírujte do tohoto souboru obsah jednotlivých certifikátů. Pořadí certifikátů by mělo odpovídat jejich pořadí v řetězu certifikátů, počínaje vaším certifikátem a konče kořenovým certifikátem. Soubor bude vypadat jako v následujícím příkladu:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Export certifikátu do formátu PFX

Exportujte sloučený certifikát TLS/SSL s privátním klíčem, pomocí který se vygenerovala vaše žádost o certifikát.

Pokud jste žádost o certifikát vygenerovali pomocí OpenSSL, vytvořili jste i soubor privátního klíče. Exportujte certifikát do formátu PFX spuštěním následujícího příkazu. Zástupné symboly < private-key-file> < a merged-certificate-file> nahraďte cestami k privátnímu klíči a souboru sloučeného certifikátu.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Po zobrazení výzvy definujte heslo pro export. Toto heslo použijete při nahrávání certifikátu TLS/SSL do App Service později.

Pokud jste k vygenerování žádosti o certifikát použili službu IIS nebo nástroj Certreq.exe, nainstalujte certifikát na místním počítači a pak exportujte certifikát do formátu PFX.

Upload certifikátu k App Service

Teď jste připraveni nahrát certifikát do App Service.

V Azure Portalv nabídce vlevo vyberte App Services > <app-name> .

V levém navigačním panelu aplikace vyberte Nastavení TLS/SSL Certifikáty privátního klíče > (.pfx) > Upload Certificate.

V části Soubor certifikátu PFX vyberte svůj soubor PFX. Do pole Heslo certifikátu zadejte heslo, které jste vytvořili při exportování souboru PFX. Po dokončení klikněte na Upload.

Po dokončení operace se certifikát zobrazí v seznamu Certifikáty privátního klíče.

Upload veřejného certifikátu

Veřejné certifikáty jsou podporované ve formátu .cer.

V Azure Portalv nabídce vlevo vyberte App Services > <app-name> .

V levém navigačním panelu aplikace klikněte na Nastavení TLS/SSL Veřejné certifikáty > (.cer) > Upload certifikátu veřejného klíče.

Do pole Název zadejte název certifikátu. V souboru certifikátu CER vyberte soubor CER.

Klikněte na Odeslat.

Po nahrání certifikátu zkopírujte kryptografický otisk certifikátu a podívejte se na stránku Nastavení certifikátu pro přístup.

Prodloužení platnosti certifikátu, u který vyprší platnost

Před vypršením platnosti certifikátu byste měli obnovený certifikát přidat do App Service aktualizovat všechny vazby TLS/SSL. Proces závisí na typu certifikátu. Například certifikát importovaný z Key Vault, včetně certifikátu App Service, se automaticky synchronizuje do App Service každých 24 hodin a při obnovení certifikátu aktualizuje vazbu TLS/SSL. U nahraného certifikátuneexistuje žádná automatická aktualizace vazby. V závislosti na vašem scénáři si projděte jednu z následujících částí:

• Obnovení nahraného certifikátu
• Prodloužení platnosti App Service certifikátu
• Obnovení certifikátu importovaného z Key Vault

Obnovení nahraného certifikátu

Pokud chcete nahradit certifikát, u který vyprší platnost, může způsob aktualizace vazby certifikátu novým certifikátem nepříznivě ovlivnit uživatelské prostředí. Například příchozí IP adresa se může při odstranění vazby změnit, i když je tato vazba založená na protokolu IP. To je zvlášť důležité při obnovení certifikátu, který už vazbu založenou na protokolu IP má. Pokud se chcete vyhnout změně IP adresy vaší aplikace a zabránit výpadkům aplikace kvůli chybám HTTPS, postupujte podle těchto kroků v tomto pořadí:

1. Upload nový certifikát.
2. Vytvořte vazbu nového certifikátu ke stejné vlastní doméně, aniž byste odstranili stávající (vypršející) certifikát. Tato akce nahradí vazbu místo odebrání existující vazby certifikátu.
3. Odstraňte existující certifikát.

Prodloužení platnosti App Service certifikátu

Pokud chcete kdykoli přepnout nastavení automatického prodlužování platnosti certifikátu App Service, vyberte certifikát na stránce App Service Certifikáty a pak v levém navigačním panelu klikněte na Nastavení obnovení. Ve výchozím nastavení App Service certifikáty mají dobu platnosti jeden rok.

Vyberte On (On) nebo Off (Vypnuto) a klikněte na Save (Uložit). Pokud máte zapnuté automatické prodlužování platnosti, mohou se certifikáty automaticky obnovovat 31 dní před vypršením platnosti.

Pokud chcete certifikát obnovit ručně, klikněte na Ruční obnovení. Můžete požádat o ruční obnovení certifikátu 60 dní před vypršením platnosti.

Po dokončení operace obnovení klikněte na Synchronizovat. Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát v App Service, aniž by to způsobilo výpadky vašich aplikací.

Obnovení certifikátu importovaného z Key Vault

Pokud chcete obnovit certifikát, který jste importoval do App Service z Key Vault, podívejte se na Azure Key Vault obnovení certifikátu.

Po obnovení certifikátu ve vašem trezoru klíčů App Service automaticky synchronizuje nový certifikát a během 24 hodin aktualizuje všechny příslušné vazby TLS/SSL. Ruční synchronizace:

1. Přejděte na stránku nastavení TLS/SSL vaší aplikace.
2. V části Certifikáty privátního klíče vyberte importovaný certifikát.
3. Klikněte na Synchronizovat.

Správa App Service certifikátů

V této části si ukážeme, jak spravovat App Service certifikátu, který jste zakoupili.

• Opětovné klíče certifikátu
• Export certifikátu
• Odstranění certifikátu

Další informace najdete v tématu Prodloužení platnosti App Service certifikátu.

Opětovné klíče certifikátu

Pokud se myslíte, že je privátní klíč certifikátu ohrožený, můžete ho vytvořit znovu. Vyberte certifikát na stránce App Service Certifikáty a pak v levém navigačním panelu vyberte Znovu klíč a Synchronizovat.

Kliknutím na Znovu klíč spusťte proces. Dokončení tohoto procesu může trvat 1 až 10 minut.

Při opětovném vytvoření klíče certifikát vyžádá nový certifikát vydaný certifikační autoritou.

Může být nutné znovu ověřit vlastnictví domény.

Po dokončení operace opětovného klíče klikněte na Synchronizovat. Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát v App Service, aniž by to způsobilo výpadky vašich aplikací.

Export certifikátu

Protože App Service Certificate tajný Key Vault ,můžete exportovat kopii PFX a použít ji pro jiné služby Azure nebo mimo Azure.

Pokud chcete App Service Certificate soubor PFX, spusťte následující příkazy v Cloud Shell . Můžete ho také spustit místně, pokud jste nainstalovali Azure CLI. Zástupné symboly nahraďte názvy, které jste použili při vytváření App Service certifikátu.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Stažený soubor appservicecertificate.pfx je nezpracovaný soubor PKCS12, který obsahuje veřejné i privátní certifikáty. V každé výzvě použijte prázdný řetězec pro heslo pro import a frázi PEM pass.

Odstranění certifikátu

Odstranění certifikátu App Service je konečné a nevratné. Odstranění prostředku App Service Certificate vede k odvolání certifikátu. Všechny vazby v App Service s tímto certifikátem se stanou neplatnými. Aby se zabránilo náhodnému odstranění, Azure na certifikát zamkne. Pokud chcete odstranit App Service certifikátu, musíte nejprve odebrat zámek odstranění certifikátu.

Vyberte certifikát na stránce App Service Certifikáty a pak v levém navigačním panelu vyberte Zámky.

Vyhledejte zámek vašeho certifikátu s typem zámku Odstranit. Napravo od ní vyberte Odstranit.

Teď můžete odstranit App Service certifikátu. V levém navigačním panelu vyberte Přehled > Odstranit. V potvrzovacím dialogovém okně zadejte název certifikátu a vyberte OK.

Automatizace pomocí skriptů

Azure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Další zdroje informací

• Zabezpečení vlastního názvu DNS pomocí vazby TLS/SSL v Azure App Service
• Vynucení protokolu HTTPS
• Vynucení protokolu TLS 1.1/1.2
• Použití certifikátu TLS nebo SSL v kódu ve službě Azure App Service
• Nejčastější dotazy: App Service certifikáty