Hinzufügen eines TLS-/SSL-Zertifikats in Azure App Service

Von Azure App Service wird ein hochgradig skalierbarer Webhostingdienst mit Self-Patching bereitgestellt. In diesem Artikel erfahren Sie, wie Sie ein privates oder öffentliches Zertifikat in App Service erstellen, hochladen oder importieren.

Nach dem Hinzufügen eines Zertifikats zu Ihrer App Service- oder Funktions-App können Sie damit einen benutzerdefinierten DNS-Namen schützen oder es in Ihrem Anwendungscode verwenden.

Hinweis

Ein in eine App hochgeladenes Zertifikat wird in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe des App Service-Plans und Region der App gebunden ist (intern Webspace genannt). Dadurch wird das Zertifikat für andere Apps in derselben Kombination aus Ressourcengruppe und Region zugänglich.

In der folgenden Tabelle sind die Optionen zum Hinzufügen von Zertifikaten in App Service aufgeführt:

Option BESCHREIBUNG
Erstellen eines von App Service verwalteten Zertifikats Ein privates Zertifikat, das kostenlos und einfach zu verwenden ist, wenn Sie nur Ihre benutzerdefinierte Domäne in App Service schützen müssen
Erwerben eines App Service-Zertifikats Ein von Azure verwaltetes privates Zertifikat. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen.
Importieren eines Zertifikats aus Key Vault Diese Option ist nützlich, wenn Sie Azure Key Vault für die Verwaltung Ihrer PKCS12-Zertifikate verwenden. Siehe Anforderungen an private Zertifikate
Hochladen eines privaten Zertifikats Wenn Sie bereits über ein privates Zertifikat von einem Drittanbieter verfügen, können Sie es hochladen. Siehe Anforderungen an private Zertifikate
Hochladen eines öffentlichen Zertifikats Öffentliche Zertifikate werden nicht zum Schützen benutzerdefinierter Domänen verwendet. Sie können sie jedoch in Ihren Code laden, wenn sie für den Zugriff auf Remoteressourcen benötigt werden.

Voraussetzungen

Anforderungen an private Zertifikate

Das von App Service verwaltete kostenlose Zertifikat und das App Service-Zertifikat erfüllen bereits die Anforderungen von App Service. Wenn Sie ein privates Zertifikat in App Service hochladen oder importieren möchten, muss Ihr Zertifikat die folgenden Anforderungen erfüllen:

  • Exportiert als kennwortgeschützte PFX-Datei, mit Triple DES verschlüsselt
  • Enthält einen privaten Schlüssel mit mindestens 2048 Bit
  • Enthält alle Zwischenzertifikate in der Zertifikatkette

Zum Schützen einer benutzerdefinierten Domäne in einer TLS-Bindung gelten für das Zertifikat zusätzliche Anforderungen:

  • Beinhaltet erweiterte Schlüsselverwendung für die Serverauthentifizierung (OID = 1.3.6.1.5.5.7.3.1).
  • Von einer vertrauenswürdigen Zertifizierungsstelle signiert

Hinweis

ECC-Zertifikate (Elliptic Curve Cryptography, Kryptografie für elliptische Kurven) können mit App Service funktionieren, werden in diesem Artikel aber nicht behandelt. Erarbeiten Sie mit Ihrer Zertifizierungsstelle die einzelnen Schritte zum Erstellen von ECC-Zertifikaten.

Vorbereiten Ihrer Web-App

Wenn Sie benutzerdefinierte TLS-/SSL-Bindungen erstellen oder Clientzertifikate für Ihre App Service-App aktivieren möchten, müssen Sie über einen App-Service-Plan im Tarif Basic, Standard, Premium oder Isolated verfügen. Stellen Sie in diesem Schritt sicher, dass sich Ihre Web-App im richtigen Tarif befindet.

Anmelden bei Azure

Öffnen Sie das Azure-Portal.

Suchen Sie nach App Services, und wählen Sie diese Option aus.

Auswählen von „App Services“

Wählen Sie auf der Seite App Services den Namen Ihrer Web-App aus.

Screenshot: Seite „App Services“ im Azure-Portal mit einer Liste aller ausgeführten Web-Apps. Die erste App in der Liste ist hervorgehoben.

Sie befinden sich auf der Verwaltungsseite Ihrer Web-App.

Überprüfen des Tarifs

Scrollen Sie im linken Navigationsbereich auf der Seite Ihrer Web-App zum Abschnitt Einstellungen, und wählen Sie Hochskalieren (App Service-Plan) aus.

Menü „Zentral hochskalieren“

Vergewissern Sie sich, dass sich Ihre Web-App nicht im Tarif F1 oder D1 befindet. Der aktuelle Tarif Ihrer Web-App wird durch einen dunkelblauen Rahmen hervorgehoben.

Überprüfen des Tarifs

Benutzerdefiniertes SSL wird im Tarif F1 oder D1 nicht unterstützt. Wenn Sie Ihren App Service-Plan hochskalieren müssen, führen Sie die Schritte im nächsten Abschnitt aus. Schließen Sie andernfalls die Seite Hochskalieren, und überspringen Sie den Abschnitt Hochskalieren Ihres App Service-Plans.

Hochskalieren Ihres App Service-Plans

Wählen Sie einen der kostenpflichtigen Tarife aus (B1, B2, B3 oder einen beliebigen Tarif aus der Kategorie Produktion). Klicken Sie auf Alle Optionen anzeigen, um weitere Optionen anzuzeigen.

Klicken Sie auf Anwenden.

Auswählen eines Tarifs

Wenn die unten angegebene Benachrichtigung angezeigt wird, ist der Skalierungsvorgang abgeschlossen.

Benachrichtigung zum Hochskalieren

Erstellen eines kostenlosen verwalteten Zertifikats

Hinweis

Stellen Sie vor dem Erstellen eines kostenlosen verwalteten Zertifikats sicher, dass für Ihre App die Voraussetzungen erfüllt sind.

Das von App Service verwaltete kostenlose Zertifikat ist eine vorgefertigte Lösung zum Schützen Ihres benutzerdefinierten DNS-Namens in App Service. Es handelt sich um ein TLS/SSL-Serverzertifikat, das vollständig von App Service verwaltet wird und kontinuierlich und automatisch alle sechs Monate verlängert wird, und zwar 45 Tage vor Ablauf der Gültigkeit. Sie erstellen das Zertifikat, binden es an eine benutzerdefinierte Domäne und lassen App Service den Rest erledigen.

Für das kostenlose Zertifikat gelten die folgenden Einschränkungen:

  • Platzhalterzertifikate werden nicht unterstützt.
  • Die Verwendung als Clientzertifikat nach Zertifikatfingerabdruck wird nicht unterstützt (das Entfernen des Zertifikatfingerabdrucks ist geplant).
  • Es kann nicht exportiert werden.
  • Es wird in einer App Service-Umgebung (App Service Environment, ASE) nicht unterstützt.
  • Es wird nicht mit Stammdomänen unterstützt, die in Traffic Manager integriert sind.
  • Wenn ein Zertifikat für eine CNAME-zugeordnete Domäne gilt, muss der CNAME direkt <app-name>.azurewebsites.net zugeordnet werden.

Hinweis

Das kostenlose Zertifikat wird von DigiCert ausgestellt. Bei einigen Domänen der obersten Ebene müssen Sie DigiCert explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag (Certification Authority Authorization) mit dem folgenden Wert erstellen: 0 issue digicert.com.

Wählen Sie im Azure-Portal im linken Menü App Services > <app-name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen > Private Schlüsselzertifikate (PFX) > Von App Service verwaltetes Zertifikat erstellen aus.

Erstellen eines kostenlosen Zertifikats in App Service

Wählen Sie die benutzerdefinierte Domäne aus, für die ein kostenloses Zertifikat erstellt werden soll, und wählen Sie dann Erstellen aus. Sie können nur ein Zertifikat für jede unterstützte benutzerdefinierte Domäne erstellen.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Erstellung eines kostenlosen Zertifikats abgeschlossen

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Importieren eines App Service-Zertifikats

Wenn Sie ein App Service-Zertifikat von Azure erwerben, verwaltet Azure die folgenden Aufgaben:

  • Abwickeln des Kaufs von GoDaddy
  • Ausführen der Domänenüberprüfung des Zertifikats
  • Speichern des Zertifikats in Azure Key Vault
  • Verwalten der Zertifikatsverlängerung (siehe Verlängern des Zertifikats)
  • Automatisches Synchronisieren des Zertifikats mit den importierten Kopien in App Service-Apps

Gehen Sie zu Starten einer Zertifikatbestellung, um ein App Service-Zertifikat zu erwerben.

Sie haben folgende Möglichkeiten, wenn Sie bereits ein funktionierendes App Service-Zertifikat besitzen:

Hinweis

App Service-Zertifikate werden zurzeit nicht in nationalen Azure-Clouds unterstützt.

Starten einer Zertifikatreihenfolge

Starten Sie eine App Service-Zertifikatreihenfolge auf der App Service Certificate-Seite zum Erstellen eines Zertifikats.

Starten des Kaufprozesses für ein App Service-Zertifikat

Die folgende Tabelle unterstützt Sie bei der Konfiguration des Zertifikats. Klicken Sie auf Erstellen, wenn Sie fertig sind.

Einstellung Beschreibung
Name Ein Anzeigename für Ihr App Service-Zertifikat.
Reiner Domänenhostname Geben Sie hier die Stammdomäne an. Das ausgestellte Zertifikat sichert sowohl die Stamm Domäne als auch die Unterdomäne www. Im ausgestellten Zertifikat enthält das Feld „Allgemeiner Name“ die Stammdomäne, und das Feld „Alternativer Antragstellername“ enthält die Domäne www. Um eine beliebige Unterdomäne zu sichern, geben Sie den vollqualifizierten Domänennamen der Unterdomäne hier an (z.B. mysubdomain.contoso.com).
Subscription Das Abonnement, das das Zertifikat enthält
Resource group Die Ressourcengruppe, die das Zertifikat enthält Sie können eine neue Ressourcengruppe verwenden oder z.B. die gleiche Ressourcengruppe wie die Ihrer App Service-App auswählen.
Zertifikat-SKU Bestimmt den Typ des zu erstellenden Zertifikats, ganz gleich, ob es sich um ein Standardzertifikat oder ein Platzhalterzertifikat handelt.
Rechtliche Bedingungen Klicken Sie auf diese Option, um zu bestätigen, dass Sie mit den rechtlichen Bedingungen einverstanden sind. Die Zertifikate werden von GoDaddy abgerufen.

Hinweis

Von Azure erworbene App Service-Zertifikate werden von GoDaddy ausgestellt. Bei einigen Domänen der obersten Ebene müssen Sie GoDaddy explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag (Certification Authority Authorization) mit dem folgenden Wert erstellen: 0 issue godaddy.com.

Speichern in Azure Key Vault

Sobald der Zertifikatkaufvorgang abgeschlossen ist, müssen Sie noch ein paar Schritte ausführen, bevor Sie das Zertifikat verwenden können.

Wählen Sie das Zertifikat auf der Seite App Service-Zertifikate aus, und klicken Sie dann auf Zertifikatkonfiguration > Schritt 1: Speichern.

Konfigurieren des Key Vault-Speichers eines App Service-Zertifikats

Key Vault ist ein Azure-Dienst zum Schutz von kryptografischen Schlüsseln und Geheimnissen, die von Cloudanwendungen und -diensten verwendet werden. Dies ist der ideale Speicher für App Service-Zertifikate.

Klicken Sie auf der Seite Key Vault-Status auf Key Vault-Repository, um einen neuen Tresor zu erstellen oder einen vorhandenen Tresor auszuwählen. Wenn Sie einen neuen Tresor erstellen möchten, konfigurieren Sie mithilfe der folgende Tabelle den Tresor, und klicken Sie auf „Erstellen“. Erstellen Sie die neue Key Vault-Instanz im gleichen Abonnement und in der gleichen Ressourcengruppe wie Ihre App Service-App.

Einstellung Beschreibung
Name Ein eindeutiger Name aus alphanumerischen Zeichen und Bindestrichen.
Resource group Es wird empfohlen, die gleiche Ressourcengruppe wie bei Ihrem App Service-Zertifikat auszuwählen.
Standort Wählen Sie denselben Speicherort wie bei Ihrer App Service-App aus.
Tarif Weitere Informationen finden Sie unter Key Vault – Preise.
Zugriffsrichtlinien Definiert die Anwendungen und den zulässigen Zugriff auf die Tresorressourcen. Sie können dies später konfigurieren, indem Sie die Schritte unter Zuweisen einer Key Vault-Zugriffsrichtlinie im Azure-Portal durchführen.
Zugriff über virtuelles Netzwerk Beschränkt den Tresorzugriff auf bestimmte virtuelle Azure-Netzwerke. Sie können dies später konfigurieren, indem Sie die Schritte unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken durchführen.

Wenn Sie den Tresor ausgewählt haben, schließen Sie die Seite Key Vault-Repository. Für die Option Schritt 1: Speichern sollte ein grünes Häkchen (erfolgreiche Ausführung) angezeigt werden. Lassen Sie die Seite für den nächsten Schritt geöffnet.

Hinweis

Derzeit unterstützt App Service Certificate nur die Key Vault-Zugriffsrichtlinie, aber nicht das RBAC-Modell.

Überprüfen des Domänenbesitzes

Klicken Sie auf der Seite Zertifikatkonfiguration, die Sie im letzten Schritt verwendet haben, auf Schritt 2: Überprüfen.

Überprüfen der Domäne für das App Service-Zertifikat

Klicken Sie auf App Service-Überprüfung. Da Sie die Domäne bereits Ihrer Web-App zugeordnet (siehe Voraussetzungen), wurde sie bereits überprüft. Klicken Sie einfach auf Überprüfen, um diesen Schritt abzuschließen. Klicken Sie auf die Schaltfläche Aktualisieren, bis die Meldung Zertifikatdomäne wurde überprüft. angezeigt wird.

Hinweis

Vier Arten von Domänenüberprüfungsmethoden werden unterstützt:

  • App Service: Die einfachste Option, wenn die Domäne bereits einer App Service-App im gleichen Abonnement zugeordnet ist. Sie nutzt die Tatsache aus, dass die App Service-App den Domänenbesitz bereits überprüft hat.
  • Domäne: Mit dieser Option wird eine App Service-Domäne überprüft, die Sie von Azure erworben haben. Azure fügt die TXT-Überprüfungseinträge automatisch für Sie hinzu und schließt den Vorgang ab.
  • E-Mail: Mit dieser Option wird die Domäne überprüft, indem Sie eine E-Mail an den Domänenadministrator senden. Anweisungen werden bei Auswahl der Option bereitgestellt.
  • Manuell: Hiermit wird die Domäne entweder mit einer HTML-Seite (nur Standard-Zertifikat) oder einem DNS-TXT-Eintrag überprüft. Anweisungen werden bei Auswahl der Option bereitgestellt.

Importieren des Zertifikats in App Service

Wählen Sie im Azure-Portal im linken Menü App Services > <app-name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen > Private Schlüsselzertifikate (PFX) > App Service-Zertifikat importieren aus.

Importieren eines App Service-Zertifikats in App Service

Wählen Sie das Zertifikat aus, das Sie soeben gekauft haben, und wählen Sie dann OK aus.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Import des App Service-Zertifikats abgeschlossen

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Importieren eines Zertifikats aus Key Vault

Wenn Sie Ihre Zertifikate mit Azure Key Vault verwalten, können Sie ein PKCS12-Zertifikat aus Key Vault in App Service importieren, sofern es die Anforderungen erfüllt.

Autorisieren von App Service für das Lesen aus dem Tresor

Der App Service-Ressourcenanbieter hat standardmäßig keinen Zugriff auf den Schlüsseltresor. Damit Sie einen Schlüsseltresor für eine Zertifikatbereitstellung verwenden können, müssen Sie den Lesezugriff des Ressourcenanbieters auf den Schlüsseltresor autorisieren.

abfa0a7c-a6b6-4736-8310-5855508787cd ist der Dienstprinzipalname des Ressourcenanbieters für App Service. Er lautet für alle Azure-Abonnements gleich. Verwenden Sie für die Azure Government-Cloudumgebung stattdessen 6a02c803-dafd-4136-b4c3-5a6f318b4714 als Dienstprinzipalnamen des Ressourcenanbieters.

Hinweis

Derzeit unterstützt Key Vault Certificate nur die Key Vault-Zugriffsrichtlinie, aber nicht das RBAC-Modell.

Importieren eines Zertifikats aus dem Tresor in Ihre App

Wählen Sie im Azure-Portal im linken Menü App Services > <app-name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen > Private Schlüsselzertifikate (PFX) > Key Vault-Zertifikat importieren aus.

Importieren eines Key Vault-Zertifikats in App Service

Die folgende Tabelle unterstützt Sie beim Auswählen des Zertifikats:

Einstellung Beschreibung
Subscription Das Abonnement, zu dem die Key Vault-Instanz gehört
Key Vault Der Tresor mit dem zu importierenden Zertifikat
Zertifikat Wählen Sie in der Liste der PKCS12-Zertifikate im Tresor ein Zertifikat aus. Alle PKCS12-Zertifikate im Tresor sind mit ihrem Fingerabdruck aufgelistet, es werden jedoch nicht alle in App Service unterstützt.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt. Tritt beim Importieren ein Fehler auf, erfüllt das Zertifikat nicht die Anforderungen für App Service.

Import des Key Vault-Zertifikats abgeschlossen

Hinweis

Wenn Sie Ihr Zertifikat in Key Vault mit einem neuen Zertifikat aktualisieren, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Hochladen eines privaten Zertifikats

Wenn Sie über ein Zertifikat von Ihrem Zertifikatanbieter verfügen, gehen Sie wie in diesem Abschnitt beschrieben vor, um es für App Service vorzubereiten.

Zusammenführen von Zwischenzertifikaten

Wenn Ihre Zertifizierungsstelle Ihnen mehrere Zertifikate in der Zertifikatskette bereitstellt, müssen Sie die Zertifikate nacheinander zusammenführen.

Öffnen Sie hierzu alle Zertifikate, die Sie erhalten haben, in einem Text-Editor.

Erstellen Sie eine Datei für das zusammengeführte Zertifikat mit dem Namen mergedcertificate.crt. Kopieren Sie den Inhalt der einzelnen Zertifikate in einem Text-Editor in diese Datei. Die Reihenfolge Ihrer Zertifikate sollte der Reihenfolge in der Zertifikatkette folgen, beginnend mit Ihrem Zertifikat und endend mit dem Stammzertifikat. Dies sieht in etwa wie im folgenden Beispiel aus:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportieren des Zertifikats als PFX-Datei

Exportieren Sie Ihr zusammengeführtes TLS-/SSL-Zertifikat mit dem privaten Schlüssel, mit dem Ihre Zertifikatanforderung generiert wurde.

Wenn Sie die Zertifikatanforderung mittels OpenSSL generiert haben, haben Sie eine Datei des privaten Schlüssels erstellt. Führen Sie folgenden Befehl aus, um Ihr Zertifikat nach PFX zu exportieren. Ersetzen Sie die Platzhalter <private-key-file> und <merged-certificate-file> mit den Pfaden zu Ihrem privaten Schlüssel und Ihrer zusammengeführten Zertifikatdatei.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Definieren Sie ein Kennwort für den Export, wenn Sie dazu aufgefordert werden. Dieses Kennwort verwenden Sie, wenn Sie Ihr TLS-/SSL-Zertifikat zu einem späteren Zeitpunkt in App Service hochladen.

Wenn Sie IIS oder Certreq.exe zum Generieren Ihrer Zertifikatanforderung verwendet haben, installieren Sie das Zertifikat auf dem lokalen Computer, und klicken Sie anschließend auf Zertifikat nach PFX exportieren.

Hochladen eines Zertifikats in App Service

Nun können Sie das Zertifikat in App Service hochladen.

Wählen Sie im Azure-Portal im linken Menü App Services > <app-name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen > Private Schlüsselzertifikate (PFX) > Zertifikat hochladen aus.

Hochladen eines privaten Zertifikats in App Service

Wählen Sie unter PFX-Zertifikatdatei Ihre PFX-Datei aus. Geben Sie unter Zertifikatkennwort das Kennwort ein, das Sie beim Exportieren der PFX-Datei erstellt haben. Klicken Sie abschließend auf Hochladen.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Upload des Zertifikats abgeschlossen

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Hochladen eines öffentlichen Zertifikats

Öffentliche Zertifikate werden im Format .cer-Format unterstützt.

Wählen Sie im Azure-Portal im linken Menü App Services > <app-name> aus.

Klicken Sie im linken Navigationsbereich Ihrer App auf TLS-/SSL-Einstellungen > Öffentliche Zertifikate (.cer) > Öffentliches Schlüsselzertifikat hochladen.

Geben Sie unter Name einen Namen für das Zertifikat ein. Wählen Sie unter CER-Zertifikatdatei Ihre CER-Datei aus.

Klicken Sie auf Hochladen.

Hochladen eines öffentlichen Zertifikats in App Service

Sobald das Zertifikat hochgeladen wurde, kopieren Sie den Zertifikatfingerabdruck, und stellen Sie sicher, dass auf das Zertifikat zugegriffen werden kann.

Verwalten von App Service-Zertifikaten

In diesem Abschnitt wird gezeigt, wie Sie ein App Service-Zertifikat verwalten, das Sie unter Importieren eines App Service-Zertifikats erworben haben.

Neue Schlüssel für Zertifikat erstellen

Wenn Sie vermuten, das der private Schlüssel Ihres Zertifikats gefährdet ist, können Sie neue Schlüssel für das Zertifikat erstellen. Wählen Sie das Zertifikat auf der Seite App Service Certificate aus, und klicken Sie dann im linken Navigationsbereich auf Neuen Schlüssel erstellen und synchronisieren.

Klicken Sie auf Erneute Schlüsselerstellung, um den Prozess zu starten. Dieser Prozess kann 1 bis 10 Minuten in Anspruch nehmen.

Erstellen neuer Schlüssel für ein App Service-Zertifikat

Bei erneuter Schlüsselerstellung für Ihr Zertifikat wird von der Zertifizierungsstelle ein neues Zertifikat ausgestellt.

Wenn der Vorgang zur erneuten Schlüsselerstellung abgeschlossen ist, klicken Sie auf Synchronisierung. Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

Hinweis

Wenn Sie nicht auf Synchronisierung klicken, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Verlängern des Zertifikats

Um zu einem beliebigen Zeitpunkt die automatische Verlängerung Ihres Zertifikats zu aktivieren, wählen Sie das Zertifikat auf der Seite App Service Certificate aus, und klicken Sie dann im linken Navigationsbereich auf Einstellungen für die automatische Verlängerung. Standardmäßig haben App Service-Zertifikate eine Gültigkeitsdauer von einem Jahr.

Klicken Sie nacheinander auf Ein und Speichern. Zertifikate können 30 Tage vor Ablauf automatisch verlängert werden, wenn Sie die automatische Verlängerung aktiviert haben.

Automatisches Verlängern eines App Service-Zertifikats

Um das Zertifikat stattdessen manuell zu verlängern, klicken Sie auf Manuelle Verlängerung. Sie können anfordern, dass Ihr Zertifikat vor Ablauf manuell um 60 Tage verlängert wird.

Wenn der Verlängerungsvorgang abgeschlossen ist, klicken Sie auf Synchronisierung. Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

Hinweis

Wenn Sie nicht auf Synchronisierung klicken, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Exportieren des Zertifikats

Bei einem App Service-Zertifikat handelt es sich um ein Key Vault-Geheimnis. Sie können daher eine PFX-Kopie davon exportieren und für andere Azure-Dienste oder außerhalb von Azure verwenden.

Führen Sie zum Exportieren des App Service-Zertifikats als PFX-Datei die folgenden Befehle in Cloud Shell aus. Sie können sie auch lokal ausführen, wenn Sie die Azure CLI installiert haben. Ersetzen Sie die Platzhalter durch die Namen, die Sie beim Erstellen des App Service-Zertifikats verwendet haben.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Die heruntergeladene Datei appservicecertificate.pfx ist eine PKCS12-Rohdatendatei, die sowohl das öffentliche als auch das private Zertifikat enthält. Verwenden Sie an jeder Eingabeaufforderung für das Importkennwort und die PEM-Passphrase eine leere Zeichenfolge.

Löschen eines Zertifikats

Das Löschen eines App Service-Zertifikats ist endgültig und kann nicht rückgängig gemacht werden. Wird eine App Service Certificate-Ressource gelöscht, wird das Zertifikat widerrufen. Alle Bindungen in App Service mit diesem Zertifikat werden ungültig. Azure sperrt das Zertifikat, um ein versehentliches Löschen zu verhindern. Wenn Sie ein App Service-Zertifikat löschen möchten, müssen Sie zunächst die Löschsperre des Zertifikats entfernen.

Wählen Sie das Zertifikat auf der Seite App Service-Zertifikate aus, und wählen Sie dann im linken Navigationsbereich Sperren aus.

Suchen Sie die Sperre für Ihr Zertifikat mit dem Sperrentyp Löschen. Wählen Sie rechts davon Löschen aus.

Löschsperre für das App Service-Zertifikat

Nun können Sie das App Service-Zertifikat löschen. Wählen Sie im linken Navigationsbereich Übersicht > Löschen aus. Geben Sie im Bestätigungsdialogfeld den Zertifikatnamen ein, und wählen Sie OK aus.

Automatisieren mit Skripts

Azure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Weitere Ressourcen