Erstellen und Verwalten eines App Service-Zertifikats für Ihre Web-App

In diesem Artikel wird beschrieben, wie Sie ein App Service-Zertifikat erstellen und verwalten (z. B. Erneuern, Synchronisieren und Löschen). Sobald Sie über ein App Service-Zertifikat verfügen, können Sie es in eine App Service-App importieren. Ein App Service-Zertifikat ist ein privates Zertifikat, das von Azure verwaltet wird. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen.

Wenn Sie ein App Service-Zertifikat von Azure erwerben, verwaltet Azure die folgenden Aufgaben:

• Abwickeln des Kaufs von GoDaddy.
• Ausführen der Domänenüberprüfung des Zertifikats
• Speichern des Zertifikats in Azure Key Vault
• Verwalten der Zertifikatverlängerung.
• Automatisches Synchronisieren des Zertifikats mit den importierten Kopien in App Service-Apps.

Hinweis

Nachdem Sie ein Zertifikat in eine App hochgeladen haben, wird es in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe, Region und Betriebssystem des App Service-Plans (intern als Webspace bezeichnet) gebunden ist. Dadurch wird das Zertifikat für andere Apps in derselben Kombination aus Ressourcengruppe und Region zugänglich. In App Service hochgeladene oder importierte Zertifikate werden in derselben Bereitstellungseinheit gemeinsam mit App Services genutzt.

Voraussetzungen

• Erstellen Sie eine App Service-App. Der App Service-Plan der App muss sich in der Ebene Basic, Standard, Premium oder Isoliert befinden. Informationen zum Aktualisieren des Tarifs finden Sie unter Hochskalieren einer App.

Hinweis

App Service-Zertifikate werden zurzeit nicht in nationalen Azure-Clouds unterstützt.

Kaufen und Konfigurieren eines App Service-Zertifikats

Starten eines Zertifikatkaufs

1. Wechseln Sie zur App Service-Zertifikaterstellungsseite, und starten Sie Ihren Kauf für ein App Service-Zertifikat.

   Hinweis

   Von Azure erworbene App Service-Zertifikate werden von GoDaddy ausgestellt. Bei einigen Domänen müssen Sie GoDaddy explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem folgenden Wert erstellen: 0 issue godaddy.com.

   

2. Die folgende Tabelle unterstützt Sie bei der Konfiguration des Zertifikats. Wenn Sie fertig sind, klicken Sie auf Überprüfen + Erstellen und dann auf Erstellen.

   Einstellung	Beschreibung
   Abonnement	Das Azure-Abonnement, das dem Zertifikat zugeordnet werden soll.
   Ressourcengruppe	Die Ressourcengruppe, die das Zertifikat enthält Sie können entweder eine neue Ressourcengruppe erstellen oder dieselbe Ressourcengruppe wie die Ihrer App Service-App auswählen.
   SKU	Bestimmt den Typ des zu erstellenden Zertifikats, entweder ein Standardzertifikat oder ein Platzhalterzertifikat.
   Reiner Domänenhostname	Geben Sie die Stammdomäne an. Das ausgestellte Zertifikat sichert sowohl die Stamm Domäne als auch die Unterdomäne www. Im ausgestellten Zertifikat gibt das Feld Allgemeiner Name die Stammdomäne an, und das Feld Alternativer Antragstellername gibt die www-Domäne an. Um nur eine beliebige Unterdomäne zu sichern, geben Sie den vollqualifizierten Domänennamen der Unterdomäne an, z. B. mysubdomain.contoso.com.
   Zertifikatsname	Der Anzeigename für Ihr App Service-Zertifikat.
   Aktivieren der automatischen  Verlängerung	Wählen Sie aus, ob das Zertifikat vor Ablauf automatisch verlängert werden soll. Jede Verlängerung zögert den Ablauf des Zertifikats um ein Jahr hinaus, und die Kosten werden Ihrem Abonnement in Rechnung gestellt.

3. Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

Speichern des Zertifikats in Azure Key Vault

Key Vault ist ein Azure-Dienst zum Schutz von kryptografischen Schlüsseln und Geheimnissen, die von Cloudanwendungen und -diensten verwendet werden. Der ideale Speicher für App Service-Zertifikate ist Key Vault. Sobald der Zertifikatskaufvorgang abgeschlossen ist, müssen Sie noch einige weitere Schritte ausführen, bevor Sie mit der Verwendung dieses Zertifikats beginnen.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus. Wählen Sie im Zertifikatmenü Zertifikatkonfiguration>Schritt 1: Speichern aus.

   

2. Wählen Sie auf der Seite Key Vault Status die Option Aus Key Vault auswählen aus.

3. Wenn Sie einen neuen Tresor erstellen, richten Sie den Tresor basierend auf der folgenden Tabelle ein, und stellen Sie sicher, dass Sie dasselbe Abonnement und dieselbe Ressourcengruppe wie die Ihrer App Service-App verwenden.

   Einstellung	BESCHREIBUNG
   Ressourcengruppe	Empfohlen: Dieselbe Ressourcengruppe wie bei Ihrem App Service-Zertifikat.
   Name des Schlüsseltresors	Ein eindeutiger Name, der nur aus alphanumerischen Zeichen und Bindestrichen besteht.
   Region	Derselbe Speicherort wie bei Ihrer App Service-App.
   Preisstufe	Weitere Informationen finden Sie unter Key Vault – Preise.
   Aufbewahrungsdauer für gelöschte Tresore in Tagen	Die Anzahl der Tage nach dem Löschen, in denen Objekte wiederhergestellt werden können (siehe Azure Key Vault-Übersicht über vorläufiges Löschen). Legen Sie einen Wert zwischen 7 und 90 fest.
   Bereinigungsschutz	Verhindert, dass Objekte, die vorläufig gelöscht wurden, manuell endgültig gelöscht werden. Wenn Sie diese Option aktivieren, bleiben alle gelöschten Objekte für die gesamte Dauer des Aufbewahrungszeitraums im vorläufig gelöschten Zustand.

4. Wählen Sie Weiter und dann Vault-Zugriffsrichtlinie aus. Derzeit unterstützen App Service-Zertifikate nur Key Vault-Zugriffsrichtlinien, aber nicht das RBAC-Modell.

5. Klicken Sie aufÜberprüfen + erstellen und dann auf Erstellen.

6. Wählen Sie nach dem Erstellen des Schlüsseltresors nicht Zu Ressource wechseln aus, sondern warten Sie, bis die Seite „Schlüsseltresor aus Azure Key Vault auswählen“ erneut geladen wurde.

7. Wählen Sie Auswählen.

8. Nachdem Sie den Tresor ausgewählt haben, schließen Sie die Seite Key Vault-Repository. Die Option Schritt 1: Speichern sollte ein grünes Häkchen für eine erfolgreiche Ausführung anzeigen. Lassen Sie die Seite für den nächsten Schritt geöffnet.

Bestätigen des Domänenbesitzes

1. Wählen Sie auf derselben Seite Zertifikatkonfiguration aus dem vorherigen Abschnitt Schritt 2: Überprüfen aus.

   

2. Klicken Sie auf App Service-Überprüfung. Da Sie die Domäne jedoch zuvor schon Ihrer Web-App über die Voraussetzungen zugeordnet haben, ist die Domäne bereits überprüft. Um diesen Schritt abzuschließen, wählen Sie einfach Überprüfen aus, und wählen Sie dann Aktualisieren aus, bis die Meldung Zertifikatdomäne wurde überprüft angezeigt wird.

Die folgenden Methoden der Domänenüberprüfung werden unterstützt:

Methode	Beschreibung
App Service-Überprüfung	Die bequemste Option, wenn die Domäne bereits einer App Service-App im gleichen Abonnement zugeordnet ist, weil die App Service-App den Domänenbesitz bereits überprüft hat. Überprüfen Sie den letzten Schritt in Bestätigen des Domänenbesitzes.
Domänenüberprüfung	Mit dieser Option wird eine App Service-Domäne bestätigt, die Sie von Azure erworben haben. Azure fügt die TXT-Überprüfungseinträge automatisch für Sie hinzu und schließt den Vorgang ab.
Überprüfungs-E-Mail	Mit dieser Option wird die Domäne bestätigt, indem eine E-Mail an den Domänenadministrator gesendet wird. Anweisungen werden bei Auswahl der Option bereitgestellt.
Manuelle Überprüfung	Bestätigt die Domäne mithilfe eines DNS TXT-Eintrags oder einer HTML-Seite, die nur für Standardzertifikate gemäß des folgenden Hinweises gilt. Die Schritte werden bereitgestellt, nachdem Sie die Option ausgewählt haben. Die HTML-Seitenoption funktioniert nicht für Web-Apps, für die die Option „Nur HTTPS“ aktiviert ist. Für die Domänenüberprüfung über den DNS TXT-Eintrag für eine der Stammdomänen (d. h. „contoso.com“) oder Unterdomäne (z. B. „www.contoso.com“, „test.api.contoso.com“) und unabhängig von der Zertifikats-SKU müssen Sie einen TXT-Eintrag auf der Stammdomänenebene mithilfe von '@' für den Namen und das Domänenüberprüfungstoken für den Wert in Ihrem DNS-Eintrag hinzufügen.

Wichtig

Mit dem Standardzertifikat wird ein Zertifikat für die angeforderte Domäne der obersten Ebene und die Unterdomäne www ausgestellt (z. B. contoso.com und www.contoso.com). Die App Service-Überprüfung und Manuelle Überprüfung verwenden jedoch die HTML-Seitenüberprüfung, die die Unterdomäne www beim Ausstellen, erneuten Eingeben oder Erneuern eines Zertifikats nicht unterstützt. Verwenden Sie für das Standardzertifikat die Domänenüberprüfung und E-Mail-Überprüfung, um die Unterdomäne www mit der angeforderten Domäne der obersten Ebene in das Zertifikat aufzunehmen.

Sobald Ihr Zertifikat domänenseitig überprüft wurde, können Sie es in eine App Service-App importieren.

Verlängern eines App Service-Zertifikats

Standardmäßig haben App Service-Zertifikate eine Gültigkeitsdauer von einem Jahr. Vor und kurz vor am Ablaufdatum können Sie App Service-Zertifikate automatisch oder manuell in 1-Jahres-Schritten verlängern. Durch den Erneuerungsprozess erhalten Sie effektiv ein neues App Service-Zertifikat, dessen Gültigkeitsdauer um ein Jahr ab dem Ablaufdatum des bestehenden Zertifikats verlängert ist.

Hinweis

Ab dem 23. September 2021 erfordern App Service-Zertifikate eine Domänenüberprüfung während einer Verlängerung oder der erneuten Schlüsselerstellung, wenn Sie die Domäne in den letzten 395 Tagen nicht überprüft haben. Die neue Zertifikatreihenfolge verbleibt während des Prozesses der Verlängerung oder der erneuten Schlüsselerstellung im Modus „Ausstellung steht aus“, bis Sie die Domänenüberprüfung abgeschlossen haben.

Im Gegensatz zum kostenlosen verwalteten App Service-Zertifikat erfolgt die erneute Überprüfung der Domäne für App Service-Zertifikate nicht automatisiert. Wird der Domänenbesitz nicht überprüft, führt dies zum Fehlschlagen von Verlängerungen. Weitere Informationen zum Überprüfen Ihres App Service-Zertifikats finden Sie unter Bestätigen des Domänenbesitzes.

Der Verlängerungsprozess erfordert, dass der bekannte Dienstprinzipal für App Service über die erforderlichen Berechtigungen für Ihren Schlüsseltresor verfügt. Diese Berechtigungen werden für Sie eingerichtet, wenn Sie ein App Service-Zertifikat über das Azure-Portal importieren. Stellen Sie sicher, dass Sie diese Berechtigungen nicht aus Ihrem Schlüsseltresor entfernen.

1. Um die Einstellung für die automatische Verlängerung Ihres App Service-Zertifikats jederzeit zu ändern, wählen Sie auf der Seite „App Service-Zertifikate“ das Zertifikat aus.

2. Wählen Sie im linken Menü Einstellungen für die automatische Verlängerung aus.

3. Wählen Sie Ein oder Aus aus und dann Speichern.

   Wenn Sie die automatische Verlängerung aktivieren, können Zertifikate 32 Tage vor Ablauf mit der automatischen Verlängerung beginnen.

   

4. Um das Zertifikat stattdessen manuell zu verlängern, wählen Sie Manuelle Verlängerung aus. Sie können anfordern, Ihr Zertifikat 60 Tage vor Ablauf manuell zu verlängern, aber das maximale Ablaufdatum beträgt 397 Tage.

5. Nach Abschluss des Verlängerungsvorgangs wählen Sie Synchronisieren aus.

   Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

   Hinweis

   Wenn Sie Synchronisieren nicht auswählen, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Erneutes Eingeben und App Service-Zertifikat

Wenn Sie vermuten, das der private Schlüssel Ihres Zertifikats gefährdet ist, können Sie neue Schlüssel für das Zertifikat erstellen. Durch diese Aktion wird das Zertifikat durch ein neues Zertifikat ersetzt, das von der Zertifizierungsstelle ausgegeben wird.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus. Wählen Sie im linken Menü Erstellung neuer Schlüssel und Synchronisierung aus.

2. Um den Prozess zu starten, wählen Sie Neue Schlüssel erstellen aus. Dieser Prozess kann 1 bis 10 Minuten in Anspruch nehmen.

   

3. Möglicherweise müssen Sie auch den Domänenbesitz erneut bestätigen.

4. Nach Abschluss der erneuten Schlüsselerstellung wählen Sie Synchronisieren aus.

   Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

   Hinweis

   Wenn Sie Synchronisieren nicht auswählen, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Exportieren eines App Service-Zertifikats

Da es sich bei einem App Service-Zertifikat um ein Key Vault-Geheimnis handelt, können Sie eine Kopie davon als PFX-Datei exportieren, die Sie für andere Azure-Dienste oder außerhalb von Azure verwenden können.

Wichtig

Das exportierte Zertifikat ist ein nicht verwaltetes Artefakt. App Service synchronisiert solche Artefakte nicht, wenn das App Service-Zertifikat verlängert wird. Sie müssen das verlängerte Zertifikat exportieren und dort installieren, wo Sie es benötigen.

Azure portal

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus.

2. Wählen Sie im linken Menü Zertifikat exportieren aus.

3. Wählen Sie Key Vault-Geheimnis öffnen aus.

4. Wählen Sie die aktuelle Version des Zertifikats aus.

5. Wählen Sie Als Zertifikat herunterladen aus.

Azure-Befehlszeilenschnittstelle

Führen Sie die folgenden Befehle in Azure Cloud Shell oder lokal aus, wenn Sie Azure CLI installiert haben. Ersetzen Sie die Platzhalter durch die Namen, die Sie beim Kauf des App Service-Zertifikats verwendet haben.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Die heruntergeladene PFX-Datei ist eine unformatierte PKCS12-Datei, die sowohl das öffentliche als auch das private Zertifikat enthält sowie ein Importkennwort, bei dem es sich um eine leere Zeichenfolge handelt. Sie können die Datei lokal installieren, indem Sie das Feld für das Kennwort leer lassen. Sie können die Datei nicht unverändert in App Service hochladen, weil die Datei nicht kennwortgeschützt ist.

Löschen eines App Service-Zertifikats

Wenn Sie ein App Service-Zertifikat löschen, kann der Löschvorgang nicht mehr rückgängig gemacht werden und ist endgültig. Das Ergebnis ist ein widerrufenes Zertifikat, wodurch jede Bindung in App Service, die dieses Zertifikat verwendet, ungültig wird.

1. Wählen Sie auf der Seite App Service-Zertifikate das Zertifikat aus.

2. Wählen Sie im linken Menü Übersicht>Löschen aus.

3. Wenn das Bestätigungsfeld angezeigt wird, geben Sie den Zertifikatnamen ein, und wählen Sie OK aus.

Häufig gestellte Fragen

Mein App Service-Zertifikat hat keinen Wert in Key Vault

Ihr App Service Zertifikat ist wahrscheinlich noch nicht domänengeprüft. Bis der Domänenbesitz bestätigt ist, ist Ihr App Service-Zertifikat nicht einsatzbereit. Als Schlüsseltresor-Geheimnis behält es einen Initialize-Tag bei, und sein Wert und Inhaltstyp bleiben leer. Wenn der Domänenbesitz bestätigt wird, zeigt das Schlüsseltresor-Geheimnis einen Wert und einen Inhaltstyp an, und das Tag ändert sich in Ready.

Ich kann mein App Service-Zertifikat nicht mit PowerShell exportieren

Ihr App Service Zertifikat ist wahrscheinlich noch nicht domänengeprüft. Bis der Domänenbesitz bestätigt ist, ist Ihr App Service-Zertifikat nicht einsatzbereit.

Welche Änderungen nimmt der App Service Zertifikat-Erstellungsprozess an meinem vorhandenen Key Vault vor?

Beim Erstellungsprozess werden die folgenden Änderungen vorgenommen:

• Fügt zwei Zugriffsrichtlinien im Tresor hinzu:
  • Microsoft.Azure.WebSites (oder Microsoft Azure App Service)
  • CSM-Ressourcenanbieter für Microsoft-Zertifikathändler (oder Microsoft.Azure.CertificateRegistration)
• Erstellt eine Löschsperre für den Tresor mit der Bezeichnung AppServiceCertificateLock, um das versehentliche Löschen des Schlüsseltresors zu verhindern.

Weitere Ressourcen

• Schützen eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service
• Erzwingen von HTTPS
• Erzwingen von TLS 1.1/1.2
• Verwenden eines TLS-/SSL-Zertifikats in Ihrem Code in Azure App Service
• Häufig gestellte Fragen: App Service-Zertifikate