Hinzufügen eines TLS-/SSL-Zertifikats in Azure App Service

Von Azure App Service wird ein hochgradig skalierbarer Webhostingdienst mit Self-Patching bereitgestellt. In diesem Artikel erfahren Sie, wie Sie ein privates oder öffentliches Zertifikat in App Service erstellen, hochladen oder importieren.

Nach dem Hinzufügen eines Zertifikats zu Ihrer App Service- oder Funktions-App können Sie damit einen benutzerdefinierten DNS-Namen schützen oder es in Ihrem Anwendungscode verwenden.

Hinweis

Ein in eine App hochgeladenes Zertifikat wird in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe, Region und Betriebssystem des App Service-Plans gebunden ist (intern Webspace genannt). Dadurch wird das Zertifikat für andere Apps in derselben Kombination aus Ressourcengruppe und Region zugänglich.

In der folgenden Tabelle sind die Optionen zum Hinzufügen von Zertifikaten in App Service aufgeführt:

Option BESCHREIBUNG
Erstellen eines von App Service verwalteten Zertifikats Ein privates Zertifikat, das kostenlos und einfach zu verwenden ist, wenn Sie nur Ihre benutzerdefinierte Domäne in App Service schützen müssen
Erwerben eines App Service-Zertifikats Ein von Azure verwaltetes privates Zertifikat. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen.
Importieren eines Zertifikats aus Key Vault Diese Option ist nützlich, wenn Sie Azure Key Vault für die Verwaltung Ihrer PKCS12-Zertifikate verwenden. Siehe Anforderungen an private Zertifikate
Hochladen eines privaten Zertifikats Wenn Sie bereits über ein privates Zertifikat von einem Drittanbieter verfügen, können Sie es hochladen. Siehe Anforderungen an private Zertifikate
Hochladen eines öffentlichen Zertifikats Öffentliche Zertifikate werden nicht zum Schützen benutzerdefinierter Domänen verwendet. Sie können sie jedoch in Ihren Code laden, wenn sie für den Zugriff auf Remoteressourcen benötigt werden.

Voraussetzungen

Anforderungen an private Zertifikate

Das von App Service verwaltete kostenlose Zertifikat und das App Service-Zertifikat erfüllen bereits die Anforderungen von App Service. Wenn Sie ein privates Zertifikat in App Service hochladen oder importieren möchten, muss Ihr Zertifikat die folgenden Anforderungen erfüllen:

  • Exportiert als kennwortgeschützte PFX-Datei, mit Triple DES verschlüsselt
  • Enthält einen privaten Schlüssel mit mindestens 2048 Bit
  • Enthält alle Zwischenzertifikate und das Stammzertifikat in der Zertifikatkette.

Zum Schützen einer benutzerdefinierten Domäne in einer TLS-Bindung gelten für das Zertifikat zusätzliche Anforderungen:

  • Beinhaltet erweiterte Schlüsselverwendung für die Serverauthentifizierung (OID = 1.3.6.1.5.5.7.3.1).
  • Von einer vertrauenswürdigen Zertifizierungsstelle signiert

Hinweis

ECC-Zertifikate (Elliptic Curve Cryptography, Kryptografie für elliptische Kurven) können mit App Service funktionieren, werden in diesem Artikel aber nicht behandelt. Erarbeiten Sie mit Ihrer Zertifizierungsstelle die einzelnen Schritte zum Erstellen von ECC-Zertifikaten.

Vorbereiten Ihrer Web-App

Wenn Sie benutzerdefinierte TLS-/SSL-Bindungen erstellen oder Clientzertifikate für Ihre App Service-App aktivieren möchten, müssen Sie über einen App-Service-Plan im Tarif Basic, Standard, Premium oder Isolated verfügen. Stellen Sie in diesem Schritt sicher, dass sich Ihre Web-App im richtigen Tarif befindet.

Anmelden bei Azure

Öffnen Sie das Azure-Portal.

Suchen Sie nach App Services, und wählen Sie diese Option aus.

Select App Services

Wählen Sie auf der Seite App Services den Namen Ihrer Web-App aus.

Screenshot of the App Services page in Azure portal showing a list of all running web apps, with the first app in the list highlighted.

Sie befinden sich auf der Verwaltungsseite Ihrer Web-App.

Überprüfen des Tarifs

Scrollen Sie im linken Navigationsbereich auf der Seite Ihrer Web-App zum Abschnitt Einstellungen, und wählen Sie Hochskalieren (App Service-Plan) aus.

Scale-up menu

Vergewissern Sie sich, dass sich Ihre Web-App nicht im Tarif F1 oder D1 befindet. Der aktuelle Tarif Ihrer Web-App wird durch einen dunkelblauen Rahmen hervorgehoben.

Check pricing tier

Benutzerdefiniertes SSL wird im Tarif F1 oder D1 nicht unterstützt. Wenn Sie Ihren App Service-Plan hochskalieren müssen, führen Sie die Schritte im nächsten Abschnitt aus. Schließen Sie andernfalls die Seite Hochskalieren, und überspringen Sie den Abschnitt Hochskalieren Ihres App Service-Plans.

Hochskalieren Ihres App Service-Plans

Wählen Sie einen der kostenpflichtigen Tarife aus (B1, B2, B3 oder einen beliebigen Tarif aus der Kategorie Produktion). Klicken Sie auf Alle Optionen anzeigen, um weitere Optionen anzuzeigen.

Klicken Sie auf Übernehmen.

Choose pricing tier

Wenn die unten angegebene Benachrichtigung angezeigt wird, ist der Skalierungsvorgang abgeschlossen.

Scale up notification

Erstellen eines kostenlosen verwalteten Zertifikats

Hinweis

Stellen Sie vor dem Erstellen eines kostenlosen verwalteten Zertifikats sicher, dass für Ihre App die Voraussetzungen erfüllt sind.

Das von App Service verwaltete kostenlose Zertifikat ist eine vorgefertigte Lösung zum Schützen Ihres benutzerdefinierten DNS-Namens in App Service. Es ist ein TLS/SSL-Serverzertifikat, das vollständig von App Service verwaltet und kontinuierlich und automatisch in Sechsmonatsinkrementen 45 Tage vor Ablauf erneuert wird, solange die Voraussetzungen unverändert bleiben, ohne dass eine Aktion Ihrerseits erforderlich ist. Alle zugeordneten Bindungen werden mit dem erneuerten Zertifikat aktualisiert. Sie erstellen das Zertifikat, binden es an eine benutzerdefinierte Domäne und lassen App Service den Rest erledigen.

Wichtig

Da Azure die Zertifikate vollständig in Ihrem Auftrag verwaltet, kann jeder Aspekt des verwalteten Zertifikats, einschließlich des Stammausstellers, jederzeit geändert werden. Diese Änderungen unterliegen nicht Ihrer Kontrolle. Sie sollten vermeiden, eine harte Abhängigkeit oder eine „Anheftung“ des Zertifikats an das verwaltete Zertifikat oder einen beliebigen anderen Teil der Zertifikathierarchie zu verwenden. Wenn Sie das Verhalten der Zertifikatanheftung benötigen, fügen Sie Ihrer benutzerdefinierten Domäne ein Zertifikat mit einer der anderen verfügbaren Methode in diesem Artikel hinzu.

Für das kostenlose Zertifikat gelten die folgenden Einschränkungen:

  • Platzhalterzertifikate werden nicht unterstützt.
  • Die Verwendung als Clientzertifikat durch Verwendung von Zertifikatfingerabdruck wird nicht unterstützt (das Entfernen des Zertifikatfingerabdrucks ist geplant).
  • Privates DNS wird nicht unterstützt.
  • Es kann nicht exportiert werden.
  • Es wird in einer App Service-Umgebung (App Service Environment, ASE) nicht unterstützt.
  • Unterstützt nur alphanumerische Zeichen, Bindestriche (-) und Punkte (.).
  • Muss über einen A-Datensatz verfügen, der auf die IP-Adresse Ihrer Web-App verweisen kann.
  • Wird in nicht öffentlich zugänglichen Apps nicht unterstützt.
  • Es wird nicht mit Stammdomänen unterstützt, die in Traffic Manager integriert sind.
  • Für die erfolgreiche Ausstellung und Verlängerung von Zertifikaten müssen alle oben genannten Bedingungen erfüllt sein.

Hinweis

Das kostenlose Zertifikat wird von DigiCert ausgestellt. Bei einigen Domänen müssen Sie DigiCert explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem folgenden Wert erstellen: 0 issue digicert.com.

Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen>Private Schlüsselzertifikate (PFX)>Von App Service verwaltetes Zertifikat erstellen aus.

Create free certificate in App Service

Wählen Sie die benutzerdefinierte Domäne aus, für die ein kostenloses Zertifikat erstellt werden soll, und wählen Sie dann Erstellen aus. Sie können nur ein Zertifikat für jede unterstützte benutzerdefinierte Domäne erstellen.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Create free certificate finished

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Importieren eines App Service-Zertifikats

Wenn Sie ein App Service-Zertifikat von Azure erwerben, verwaltet Azure die folgenden Aufgaben:

  • Abwickeln des Kaufs von GoDaddy
  • Ausführen der Domänenüberprüfung des Zertifikats
  • Speichern des Zertifikats in Azure Key Vault
  • Verwalten der Zertifikatsverlängerung (siehe Verlängern des Zertifikats)
  • Automatisches Synchronisieren des Zertifikats mit den importierten Kopien in App Service-Apps

Gehen Sie zu Starten einer Zertifikatbestellung, um ein App Service-Zertifikat zu erwerben.

Sie haben folgende Möglichkeiten, wenn Sie bereits ein funktionierendes App Service-Zertifikat besitzen:

Hinweis

App Service-Zertifikate werden zurzeit nicht in nationalen Azure-Clouds unterstützt.

Starten einer Zertifikatreihenfolge

Starten Sie eine App Service-Zertifikatreihenfolge auf der App Service Certificate-Seite zum Erstellen eines Zertifikats.

Hinweis

Alle angezeigten Preise sind nur für Beispiele.

Start App Service certificate purchase

Die folgende Tabelle unterstützt Sie bei der Konfiguration des Zertifikats. Klicken Sie auf Erstellen, wenn Sie fertig sind.

Einstellung BESCHREIBUNG
Subscription Das Abonnement, das das Zertifikat enthält
Resource group Die Ressourcengruppe, die das Zertifikat enthält Sie können eine neue Ressourcengruppe verwenden oder z.B. die gleiche Ressourcengruppe wie die Ihrer App Service-App auswählen.
SKU Bestimmt den Typ des zu erstellenden Zertifikats, ganz gleich, ob es sich um ein Standardzertifikat oder ein Platzhalterzertifikat handelt.
Reiner Domänenhostname Geben Sie hier die Stammdomäne an. Das ausgestellte Zertifikat sichert sowohl die Stamm Domäne als auch die Unterdomäne www. Im ausgestellten Zertifikat enthält das Feld „Allgemeiner Name“ die Stammdomäne, und das Feld „Alternativer Antragstellername“ enthält die Domäne www. Um eine beliebige Unterdomäne zu sichern, geben Sie den vollqualifizierten Domänennamen der Unterdomäne hier an (z.B. mysubdomain.contoso.com).
Zertifikatsname Ein Anzeigename für Ihr App Service-Zertifikat.
Aktivieren der automatischen  Verlängerung Wählen Sie aus, ob das Zertifikat automatisch verlängert werden soll, bevor es abläuft. Jede Verlängerung zögert den Ablauf des Zertifikats um ein Jahr hinaus, und die Kosten werden Ihrem Abonnement in Rechnung gestellt.

Hinweis

Von Azure erworbene App Service-Zertifikate werden von GoDaddy ausgestellt. Bei einigen Domänen müssen Sie GoDaddy explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem folgenden Wert erstellen: 0 issue godaddy.com.

Speichern in Azure Key Vault

Sobald der Zertifikatkaufvorgang abgeschlossen ist, müssen Sie noch ein paar Schritte ausführen, bevor Sie das Zertifikat verwenden können.

Wählen Sie das Zertifikat auf der Seite App Service-Zertifikate aus, und klicken Sie dann auf Zertifikatkonfiguration>Schritt 1: Speichern.

Configure Key Vault storage of App Service certificate

Key Vault ist ein Azure-Dienst zum Schutz von kryptografischen Schlüsseln und Geheimnissen, die von Cloudanwendungen und -diensten verwendet werden. Dies ist der ideale Speicher für App Service-Zertifikate.

Klicken Sie auf der Seite Key Vault-Status auf Key Vault-Repository, um einen neuen Tresor zu erstellen oder einen vorhandenen Tresor auszuwählen. Wenn Sie einen neuen Tresor erstellen möchten, konfigurieren Sie mithilfe der folgende Tabelle den Tresor, und klicken Sie auf „Erstellen“. Erstellen Sie die neue Key Vault-Instanz im gleichen Abonnement und in der gleichen Ressourcengruppe wie Ihre App Service-App.

Einstellung BESCHREIBUNG
Name Ein eindeutiger Name aus alphanumerischen Zeichen und Bindestrichen.
Resource group Es wird empfohlen, die gleiche Ressourcengruppe wie bei Ihrem App Service-Zertifikat auszuwählen.
Standort Wählen Sie denselben Speicherort wie bei Ihrer App Service-App aus.
Tarif Weitere Informationen finden Sie unter Key Vault – Preise.
Zugriffsrichtlinien Definiert die Anwendungen und den zulässigen Zugriff auf die Tresorressourcen. Sie können dies später konfigurieren, indem Sie die Schritte unter Zuweisen einer Key Vault-Zugriffsrichtlinie im Azure-Portal durchführen.
Zugriff über virtuelles Netzwerk Beschränkt den Tresorzugriff auf bestimmte virtuelle Azure-Netzwerke. Sie können dies später konfigurieren, indem Sie die Schritte unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken durchführen.

Wenn Sie den Tresor ausgewählt haben, schließen Sie die Seite Key Vault-Repository. Für die Option Schritt 1: Speichern sollte ein grünes Häkchen (erfolgreiche Ausführung) angezeigt werden. Lassen Sie die Seite für den nächsten Schritt geöffnet.

Hinweis

Derzeit unterstützt App Service Certificate nur die Key Vault-Zugriffsrichtlinie, aber nicht das RBAC-Modell.

Überprüfen des Domänenbesitzes

Klicken Sie auf der Seite Zertifikatkonfiguration, die Sie im letzten Schritt verwendet haben, auf Schritt 2: Überprüfen.

Verify domain for App Service certificate

Klicken Sie auf App Service-Überprüfung. Da Sie die Domäne bereits Ihrer Web-App zugeordnet (siehe Voraussetzungen), wurde sie bereits überprüft. Klicken Sie einfach auf Überprüfen, um diesen Schritt abzuschließen. Klicken Sie auf die Schaltfläche Aktualisieren, bis die Meldung Zertifikatdomäne wurde überprüft. angezeigt wird.

Wichtig

Für ein Standard-Zertifikat stellt der Zertifikatanbieter ein Zertifikat für die angeforderte Domäne der obersten Ebene und deren Unterdomäne www aus (z. B. contoso.com und www.contoso.com). Am 1. Dezember 2021 wurde jedoch eine Einschränkung für App Service und die manuellen Überprüfungsmethoden eingeführt. Beide verwenden die HTML-Seitenüberprüfung, um den Domänenbesitz zu überprüfen. Mit dieser Methode darf der Zertifikatanbieter die Unterdomäne www beim Ausstellen, erneuten Ausstellen oder Verlängern eines Zertifikats nicht mehr enthalten.

Die Überprüfungsmethoden Domäne und E-Mail enthalten weiterhin die Unterdomäne www zur angeforderten Domäne der obersten Ebene im Zertifikat.

Hinweis

Vier Arten von Domänenüberprüfungsmethoden werden unterstützt:

  • App Service: Die einfachste Option, wenn die Domäne bereits einer App Service-App im gleichen Abonnement zugeordnet ist. Sie nutzt die Tatsache aus, dass die App Service-App den Domänenbesitz bereits überprüft hat (siehe vorheriger Hinweis).
  • Domäne: Mit dieser Option wird eine App Service-Domäne überprüft, die Sie von Azure erworben haben. Azure fügt die TXT-Überprüfungseinträge automatisch für Sie hinzu und schließt den Vorgang ab.
  • E-Mail: Mit dieser Option wird die Domäne überprüft, indem Sie eine E-Mail an den Domänenadministrator senden. Anweisungen werden bei Auswahl der Option bereitgestellt.
  • Manuell: Hiermit wird die Domäne entweder mit einer HTML-Seite (nur Standard-Zertifikat, siehe vorheriger Hinweis) oder einem DNS-TXT-Eintrag überprüft. Anweisungen werden bei Auswahl der Option bereitgestellt. Die HTML-Seitenoption funktioniert nicht für Web-Apps, für die die Option „Nur HTTPS“ aktiviert ist.

Importieren des Zertifikats in App Service

Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen>Private Schlüsselzertifikate (PFX)>App Service-Zertifikat importieren aus.

Import App Service certificate in App Service

Wählen Sie das Zertifikat aus, das Sie soeben gekauft haben, und wählen Sie dann OK aus.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Import App Service certificate finished

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Importieren eines Zertifikats aus Key Vault

Wenn Sie Ihre Zertifikate mit Azure Key Vault verwalten, können Sie ein PKCS12-Zertifikat aus Key Vault in App Service importieren, sofern es die Anforderungen erfüllt.

Autorisieren von App Service für das Lesen aus dem Tresor

Der App Service-Ressourcenanbieter hat standardmäßig keinen Zugriff auf den Schlüsseltresor. Damit Sie einen Schlüsseltresor für eine Zertifikatbereitstellung verwenden können, müssen Sie den Lesezugriff des Ressourcenanbieters auf den Schlüsseltresor autorisieren.

abfa0a7c-a6b6-4736-8310-5855508787cd ist der Dienstprinzipalname des Ressourcenanbieters für App Service. Er lautet für alle Azure-Abonnements gleich. Verwenden Sie für die Azure Government-Cloudumgebung stattdessen 6a02c803-dafd-4136-b4c3-5a6f318b4714 als Dienstprinzipalnamen des Ressourcenanbieters.

Hinweis

Derzeit unterstützt Key Vault Certificate nur die Key Vault-Zugriffsrichtlinie, aber nicht das RBAC-Modell.

Importieren eines Zertifikats aus dem Tresor in Ihre App

Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen>Private Schlüsselzertifikate (PFX)>Key Vault-Zertifikat importieren aus.

Import Key Vault certificate in App Service

Die folgende Tabelle unterstützt Sie beim Auswählen des Zertifikats:

Einstellung BESCHREIBUNG
Subscription Das Abonnement, zu dem die Key Vault-Instanz gehört
Key Vault Der Tresor mit dem zu importierenden Zertifikat
Zertifikat Wählen Sie in der Liste der PKCS12-Zertifikate im Tresor ein Zertifikat aus. Alle PKCS12-Zertifikate im Tresor sind mit ihrem Fingerabdruck aufgelistet, es werden jedoch nicht alle in App Service unterstützt.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt. Tritt beim Importieren ein Fehler auf, erfüllt das Zertifikat nicht die Anforderungen für App Service.

Import Key Vault certificate finished

Hinweis

Wenn Sie Ihr Zertifikat in Key Vault mit einem neuen Zertifikat aktualisieren, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Hochladen eines privaten Zertifikats

Wenn Sie über ein Zertifikat von Ihrem Zertifikatanbieter verfügen, gehen Sie wie in diesem Abschnitt beschrieben vor, um es für App Service vorzubereiten.

Zusammenführen von Zwischenzertifikaten

Wenn Ihre Zertifizierungsstelle Ihnen mehrere Zertifikate in der Zertifikatskette bereitstellt, müssen Sie die Zertifikate nacheinander zusammenführen.

Öffnen Sie hierzu alle Zertifikate, die Sie erhalten haben, in einem Text-Editor.

Erstellen Sie eine Datei für das zusammengeführte Zertifikat mit dem Namen mergedcertificate.crt. Kopieren Sie den Inhalt der einzelnen Zertifikate in einem Text-Editor in diese Datei. Die Reihenfolge Ihrer Zertifikate sollte der Reihenfolge in der Zertifikatkette folgen, beginnend mit Ihrem Zertifikat und endend mit dem Stammzertifikat. Dies sieht in etwa wie im folgenden Beispiel aus:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportieren des Zertifikats als PFX-Datei

Exportieren Sie Ihr zusammengeführtes TLS-/SSL-Zertifikat mit dem privaten Schlüssel, mit dem Ihre Zertifikatanforderung generiert wurde.

Wenn Sie die Zertifikatanforderung mittels OpenSSL generiert haben, haben Sie eine Datei des privaten Schlüssels erstellt. Führen Sie folgenden Befehl aus, um Ihr Zertifikat nach PFX zu exportieren. Ersetzen Sie die Platzhalter <private-key-file> und <merged-certificate-file> durch die Pfade zu Ihrem privaten Schlüssel und Ihrer zusammengeführten Zertifikatdatei.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Definieren Sie ein Kennwort für den Export, wenn Sie dazu aufgefordert werden. Dieses Kennwort verwenden Sie, wenn Sie Ihr TLS-/SSL-Zertifikat zu einem späteren Zeitpunkt in App Service hochladen.

Wenn Sie IIS oder Certreq.exe zum Generieren Ihrer Zertifikatanforderung verwendet haben, installieren Sie das Zertifikat auf dem lokalen Computer, und klicken Sie anschließend auf Zertifikat nach PFX exportieren.

Hochladen eines Zertifikats in App Service

Nun können Sie das Zertifikat in App Service hochladen.

Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

Wählen Sie im linken Navigationsbereich Ihrer App TLS-/SSL-Einstellungen>Private Schlüsselzertifikate (PFX)>Zertifikat hochladen aus.

Upload private certificate in App Service

Wählen Sie unter PFX-Zertifikatdatei Ihre PFX-Datei aus. Geben Sie unter Zertifikatkennwort das Kennwort ein, das Sie beim Exportieren der PFX-Datei erstellt haben. Klicken Sie abschließend auf Hochladen.

Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Private Schlüsselzertifikate angezeigt.

Upload certificate finished

Wichtig

Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte unter Erstellen einer Bindung aus.

Hochladen eines öffentlichen Zertifikats

Öffentliche Zertifikate werden im Format .cer-Format unterstützt.

Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

Klicken Sie im linken Navigationsbereich Ihrer App auf TLS-/SSL-Einstellungen>Öffentliche Zertifikate (.cer)>Öffentliches Schlüsselzertifikat hochladen.

Geben Sie unter Name einen Namen für das Zertifikat ein. Wählen Sie unter CER-Zertifikatdatei Ihre CER-Datei aus.

Klicken Sie auf Hochladen.

Upload public certificate in App Service

Sobald das Zertifikat hochgeladen wurde, kopieren Sie den Zertifikatfingerabdruck, und stellen Sie sicher, dass auf das Zertifikat zugegriffen werden kann.

Verlängern eines abgelaufenen Zertifikats

Vor Ablauf eines Zertifikats sollten Sie App Service das verlängerte Zertifikat hinzufügen und alle TLS/SSL-Bindungen aktualisieren. Der Vorgang hängt vom Zertifikattyp ab. Ein aus Key Vault importiertes Zertifikat, einschließlich eines App Service-Zertifikats, wird beispielsweise automatisch alle 24 Stunden mit App Service synchronisiert und aktualisiert die TLS/SSL-Bindung, wenn Sie das Zertifikat verlängern. Für ein hochgeladenes Zertifikat erfolgt keine automatische Aktualisierung der Bindung. Lesen Sie je nach Szenario einen der folgenden Abschnitte:

Verlängern eines hochgeladenen Zertifikats

Beim Ersatz eines ablaufenden Zertifikats kann sich die Art der Aktualisierung der Zertifikatbindung durch das neue Zertifikat negativ auf die Benutzerfreundlichkeit auswirken. Ihre IP-Adresse für eingehenden Datenverkehr kann sich z. B. ändern, wenn Sie eine Bindung löschen, auch wenn diese Bindung IP-basiert ist. Dies ist besonders wichtig, wenn Sie ein Zertifikat erneuern, das sich bereits in einer IP-basierten Bindung befindet. Um zu vermeiden, dass die IP-Adresse Ihrer App geändert wird und Ihre App aufgrund von HTTPS-Fehlern ausfällt, führen Sie die folgenden Schritte der Reihe nach aus:

  1. Laden Sie das neue Zertifikat hoch.
  2. Binden Sie das neue Zertifikat an dieselbe benutzerdefinierte Domäne, ohne das vorhandene (ablaufende) Zertifikat zu löschen. Dadurch wird die Bindung ersetzt, ohne dass die bestehende Zertifikatbindung entfernt wird. Navigieren Sie hierzu zum Blatt „TLS/SSL-Einstellungen“ Ihrer App Service-Instanz, und wählen Sie die Schaltfläche „Bindung hinzufügen“ aus.
  3. Löschen Sie das vorhandene Zertifikat.

Verlängern eines App Service-Zertifikats

Hinweis

Ab dem 23. September 2021 erfordern App Service-Zertifikate eine Domänenüberprüfung während der Verlängerung oder der erneuten Eingabe, wenn Sie die Domäne in den letzten 395 Tagen nicht überprüft haben. Die neue Zertifikatreihenfolge verbleibt während der Verlängerung oder erneuten Eingabe im Status „Ausstellung steht aus“, bis Sie die Domänenüberprüfung abgeschlossen haben.

Im Gegensatz zum verwalteten App Service-Zertifikat erfolgt die erneute Überprüfung der Domäne für App Service-Zertifikate nicht automatisch, und eine fehlende Überprüfung des Domänenbesitzes führt zu einer fehlerhaften Verlängerung. Weitere Informationen zum Überprüfen des App Service-Zertifikats finden Sie unter Überprüfen des Domänenbesitzes.

Hinweis

Der Verlängerungsprozess erfordert, dass der bekannte Dienstprinzipal für App Service über die erforderlichen Berechtigungen für Ihren Schlüsseltresor verfügt. Diese Berechtigung wird für Sie konfiguriert, wenn Sie eine App Service Certificate-Instanz über das Portal importieren. Sie sollte nicht aus Ihrem Schlüsseltresor entfernt werden.

Standardmäßig haben App Service-Zertifikate eine Gültigkeitsdauer von einem Jahr. Kurz vor Ablauf der Gültigkeit können die App Service-Zertifikate automatisch oder manuell in Schritten von einem Jahr verlängert werden. Durch die Erneuerung erhalten Sie ein neues App Service-Zertifikat, dessen Gültigkeitsdauer um ein Jahr ab dem Ablaufdatum des bestehenden Zertifikats verlängert wird.

Um die Einstellung für die automatische Verlängerung Ihres App Service-Zertifikats umzustellen, wählen Sie das Zertifikat auf der Seite App Service Certificate aus. Klicken Sie dann im linken Navigationsbereich auf Einstellungen für die automatische Verlängerung.

Wählen Sie Ein oder Aus aus, und klicken Sie auf Speichern. Zertifikate können 32 Tage vor Ablauf automatisch verlängert werden, wenn Sie die automatische Verlängerung aktiviert haben.

Renew App Service certificate automatically

Um das Zertifikat stattdessen manuell zu verlängern, klicken Sie auf Manuelle Verlängerung. Sie können anfordern, dass Ihr Zertifikat vor Ablauf manuell um 60 Tage verlängert wird.

Wenn der Verlängerungsvorgang abgeschlossen ist, klicken Sie auf Synchronisierung. Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

Hinweis

Wenn Sie nicht auf Synchronisierung klicken, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Verlängern eines aus Azure Key Vault importierten Zertifikats

Informationen zum Verlängern eines Zertifikats, das Sie aus Key Vault in App Service importiert haben, finden Sie unter Verlängern eines Azure Key Vault-Zertifikats.

Nachdem das Zertifikat in Ihrem Schlüsseltresor verlängert wurde, synchronisiert App Service das neue Zertifikat automatisch und aktualisiert alle zugehörigen TLS/SSL-Bindungen innerhalb von 24 Stunden. So synchronisieren Sie manuell

  1. Wechseln Sie zur Seite TLS/SSL-Einstellungen Ihrer App.
  2. Wählen Sie unter Zertifikate für private Schlüssel das importierte Zertifikat aus.
  3. Klicken Sie auf Synchronisierung.

Verwalten von App Service-Zertifikaten

In diesem Abschnitt erfahren Sie, wie Sie ein von Ihnen erworbenes App Service-Zertifikat verwalten können.

Weitere Informationen finden Sie auch unter Verlängern eines App Service-Zertifikats.

Neue Schlüssel für Zertifikat erstellen

Wenn Sie vermuten, das der private Schlüssel Ihres Zertifikats gefährdet ist, können Sie neue Schlüssel für das Zertifikat erstellen. Wählen Sie das Zertifikat auf der Seite App Service Certificate aus, und klicken Sie dann im linken Navigationsbereich auf Neuen Schlüssel erstellen und synchronisieren.

Klicken Sie auf Erneute Schlüsselerstellung, um den Prozess zu starten. Dieser Prozess kann 1 bis 10 Minuten in Anspruch nehmen.

Rekey an App Service certificate

Bei erneuter Schlüsselerstellung für Ihr Zertifikat wird von der Zertifizierungsstelle ein neues Zertifikat ausgestellt.

Sie müssen eventuell den Domänenbesitz erneut überprüfen.

Wenn der Vorgang zur erneuten Schlüsselerstellung abgeschlossen ist, klicken Sie auf Synchronisierung. Der Synchronisierungsvorgang aktualisiert automatisch die Hostnamenbindungen für das Zertifikat in App Service, ohne dass es zu Downtime für Ihre Apps kommt.

Hinweis

Wenn Sie nicht auf Synchronisierung klicken, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

Exportieren des Zertifikats

Bei einem App Service-Zertifikat handelt es sich um ein Key Vault-Geheimnis. Sie können daher eine PFX-Kopie davon exportieren und für andere Azure-Dienste oder außerhalb von Azure verwenden.

Hinweis

Das exportierte Zertifikat ist ein nicht verwaltetes Artefakt. Es wird z. B. nicht synchronisiert, wenn das App Service Certificate verlängert wird. Sie müssen das verlängerte Zertifikat exportieren und dort installieren, wo Sie es benötigen.

  1. Wählen Sie das Zertifikat auf der Seite App Service Certificate aus, und klicken Sie dann im linken Navigationsbereich auf Zertifikat exportieren.

  2. Wählen Sie In Key Vault öffnen aus.

  3. Wählen Sie die aktuelle Version des Zertifikats aus.

  4. Wählen Sie Als Zertifikat herunterladen aus.

Die heruntergeladene PFX-Datei ist eine unformatierte PKCS12-Datei, die sowohl das öffentliche als auch das private Zertifikat enthält, und das Importkennwort ist eine leere Zeichenfolge. Sie können es lokal installieren, indem Sie das Feld für das Kennwort leer lassen. Beachten Sie, dass es nicht ohne Kennwort in App Service hochgeladen werden kann, da es nicht kennwortgeschützt ist.

Löschen eines Zertifikats

Das Löschen eines App Service-Zertifikats ist endgültig und kann nicht rückgängig gemacht werden. Wird eine App Service Certificate-Ressource gelöscht, wird das Zertifikat widerrufen. Alle Bindungen in App Service mit diesem Zertifikat werden ungültig. Azure sperrt das Zertifikat, um ein versehentliches Löschen zu verhindern. Wenn Sie ein App Service-Zertifikat löschen möchten, müssen Sie zunächst die Löschsperre des Zertifikats entfernen.

Wählen Sie das Zertifikat auf der Seite App Service-Zertifikate aus, und wählen Sie dann im linken Navigationsbereich Sperren aus.

Suchen Sie die Sperre für Ihr Zertifikat mit dem Sperrentyp Löschen. Wählen Sie rechts davon Löschen aus.

Delete lock for App Service certificate

Nun können Sie das App Service-Zertifikat löschen. Wählen Sie im linken Navigationsbereich Übersicht>Löschen aus. Geben Sie im Bestätigungsdialogfeld den Zertifikatnamen ein, und wählen Sie OK aus.

Automatisieren mit Skripts

Azure CLI

Binden eines benutzerdefinierten TLS-/SSL-Zertifikats an eine Web-App

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Weitere Ressourcen