Creación y administración de un certificado de App Service para la aplicación web

En este artículo se indica cómo crear un certificado de App Service y administrarlo (por ejemplo, renovar, sincronizar y eliminar). Una vez que tenga un certificado de App Service, puede importarlo a una aplicación de App Service. Un certificado de App Service es un certificado privado administrado por Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación.

Si adquiere un certificado de App Service de Azure, Azure se ocupará de llevar a cabo las siguientes tareas:

• Manejar el proceso de compra de GoDaddy.
• Realiza la comprobación de dominio del certificado.
• Mantiene el certificado en Azure Key Vault.
• Administrar la renovación de certificados.
• Sincronizar el certificado automáticamente con las copias importadas en aplicaciones de App Service.

Nota

Después de cargar un certificado en una aplicación, este se almacena en una unidad de implementación enlazada al grupo de recursos, la región y la combinación del sistema operativo del plan de App Service, que se denomina internamente un espacio web. De esta manera, el certificado es accesible para otras aplicaciones con la misma combinación de región y grupo de recursos. Los certificados cargados o importados en App Service se comparten con App Services en la misma unidad de implementación.

Prerrequisitos

• Cree una aplicación de App Service. El plan de App Service de la aplicación debe ser del nivel Básico, Estándar, Premium o Aislado. Consulte Escalado vertical de una aplicación para actualizar el nivel.

Nota

Actualmente, los certificados de App Service no son compatibles con las nubes nacionales de Azure.

Compra y configuración de un certificado de App Service

Inicio del pedido de certificado

1. Vaya a la página de creación de App Service Certificate e inicie la compra de un certificado de App Service.

   Nota

   Los certificados de App Service adquiridos de Azure los emite GoDaddy. En algunos dominios, debe permitir explícitamente GoDaddy como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue godaddy.com.

   

2. Para ayudarle a configurar el certificado, use la tabla siguiente. Cuando haya terminado, seleccione Revisar y crear y, después, Crear.

   Configuración	Descripción
   Suscripción	La suscripción de Azure que se va a asociar al certificado.
   Grupos de recursos	El grupo de recursos que contendrá el certificado. Puede crear un nuevo grupo de recursos o seleccionar el mismo grupo de recursos que la aplicación de App Service.
   SKU	Determine el tipo de certificado para crear, ya sea de tipo estándar o comodín.
   Nombre de host de dominio desnudo	Especifique el dominio raíz. El certificado emitido protege al mismo tiempo el dominio raíz y el subdominio www. En el certificado emitido, el campo Nombre común especifica el dominio raíz, mientras que el campo Nombre alternativo del firmante especifica el dominio www. Para proteger únicamente un subdominio, especifique el nombre de dominio completo del subdominio. Por ejemplo, mysubdomain.contoso.com.
   Nombre de certificado	El nombre descriptivo para el certificado de App Service.
   Habilitar renovación automática	Especifique si desea renovar automáticamente el certificado antes de la expiración. Cada renovación amplía la expiración del certificado en un año y el costo se cobra a la suscripción.

3. Una vez finalizada la implementación, seleccione Ir al recurso.

Almacenamiento del certificado en Azure Key Vault

Key Vault es un servicio de Azure que ayuda a proteger claves criptográficas y secretos que emplean servicios y aplicaciones en la nube. Para los certificados de App Service, el sistema de almacenamiento elegido es Key Vault. Después de finalizar el proceso de compra de certificados, debe completar algunos pasos más antes de empezar a usar este certificado.

1. En la página de certificados de App Service, seleccione el certificado. En el menú certificado, seleccione Configuración del certificado>Paso 1: Almacenar.

   

2. En la página Estado de Key Vault, seleccione Seleccionar de Key Vault.

3. Si crea un nuevo almacén, configúrelo en función de la tabla siguiente y asegúrese de usar la misma suscripción y grupo de recursos que la aplicación de App Service.

   Configuración	Descripción
   Grupos de recursos	Recomendación: Usar el mismo grupo de recursos que el certificado de App Service.
   Nombre del almacén de claves	Un nombre único que solo contiene caracteres alfanuméricos y guiones.
   Región	La misma que tiene la aplicación de App Service.
   Plan de tarifa	Para obtener información, consulte Detalles de precios de Azure Key Vault.
   Días durante los cuales se conservarán los almacenes eliminados	Número de días después de la eliminación, en los que los objetos permanecen recuperables (consulte Información general sobre la eliminación temporal de Azure Key Vault). Define un valor comprendido entre 7 y 90.
   Protección de purgas	Impide que los objetos st eliminados temporalmente se purguen manualmente. Al habilitar esta opción, todos los objetos eliminados permanecerán en estado de eliminación temporal durante todo el período de retención.

4. Seleccione Siguiente y Directiva de acceso de Vault. Actualmente, los certificados de App Service solo admiten las directivas de acceso de Key Vault, pero no el modelo de RBAC.

5. Seleccione Revisar y crear y, luego, Crear.

6. Una vez creado el almacén de claves, no seleccione Ir al recurso, pero espere a que se vuelva a cargar la página Seleccionar almacén de claves de Azure Key Vault.

7. Elija Seleccionar.

8. Después de seleccionar el almacén, cierre la página del repositorio de Key Vault. La opción Paso 1: Almacenar debería mostrar una marca de verificación verde si se ha completado correctamente. Mantenga la página abierta para el siguiente paso.

Confirmación de la propiedad del dominio

1. En la misma página de configuración del certificado que se usó en el paso 2, haga clic en Paso 2: Comprobar.

   

2. Seleccione Comprobación de App Service. Sin embargo, dado que anteriormente asignó el dominio a la aplicación web de acuerdo con los requisitos previos, el dominio ya se ha comprobado. Para finalizar este paso, seleccione Comprobar y después Actualizar hasta que se muestre el mensaje El certificado tiene el dominio comprobado.

Se admiten los siguientes métodos de comprobación de dominio:

Método	Descripción
Comprobación de App Service	La opción más conveniente cuando el dominio ya se ha asignado a una aplicación de App Service en la misma suscripción porque la aplicación de App Service ya ha comprobado la propiedad del dominio. Revise el último paso descrito en Confirmación de la propiedad del dominio.
Comprobación del dominio	Compruebe un dominio de App Service que haya adquirido a través de Azure. Azure agrega automáticamente el registro TXT de comprobación en su lugar y completa el proceso.
Comprobación del correo	Confirme el dominio mediante el envío de un correo electrónico al administrador de dominio. Cuando selecciona la opción, se proporcionan instrucciones.
Comprobación manual	Compruebe el dominio mediante un registro TXT de DNS o una página HTML, que solo se aplicará a certificados estándar de acuerdo con la nota siguiente. Los pasos se proporcionan después de seleccionar la opción. La opción de página HTML no funciona para las aplicaciones web con la opción "Solo Https" habilitada. Para la verificación del dominio a través del registro TXT de DNS, ya sea para el dominio raíz ( ej. "contoso.com") o subdominio (ej. "www.contoso.com", "test.api.contoso.com") e independientemente del SKU del certificado, deberá agregar un registro TXT en el nivel del dominio raíz usando '@' para el nombre y el token de verificación del dominio para el valor en su registro DNS.

Importante

En el caso de un certificado Estándar, obtiene un certificado para el dominio de nivel superior solicitado y el subdominio de www. Por ejemplo, contoso.com y www.contoso.com. Sin embargo, tanto la comprobación de App Service como la comprobación manual usan la comprobación de página HTML, que no admite el subdominio de www al emitir, volver a especificar la clave o renovar un certificado. Para el certificado Estándar, use la comprobación de dominio y la comprobación de correo electrónico para incluir el subdominio de www con el dominio de nivel superior solicitado en el certificado.

Una vez que el dominio compruebe su certificado, ya puede importarlo en una aplicación de App Service.

Renovación de un certificado de App Service

De forma predeterminada, los certificados de App Service tienen un período de validez de un año. Antes de la fecha de expiración o cuando se aproxime, puede renovar de forma automática o manual los certificados de App Service con una frecuencia anual. El proceso de renovación proporciona un nuevo certificado de App Service con la fecha de expiración ampliada a un año desde la fecha de expiración del certificado existente.

Nota

A partir del 23 de septiembre de 2021 si no ha comprobado el dominio en los últimos 395 días, los certificados de App Service requieren comprobar el dominio durante un proceso de renovación del certificado o de regeneración de claves. El nuevo pedido de certificado permanece como "pendiente de emisión" al renovarlo o regenerar la clave hasta que se complete la comprobación del dominio.

A diferencia de un certificado administrado de App Service, la nueva comprobación de dominio para los certificados de App Service no se lleva a cabo de forma automatizada. Si no se comprueba la propiedad del dominio, se producirá un error en las renovaciones. Para obtener más información sobre cómo comprobar el certificado de App Service, consulte Confirmación de la propiedad del dominio.

El proceso de renovación requiere que la entidad de servicio conocida para App Service tenga los permisos necesarios en el almacén de claves. Estos permisos se configuran para usted al importar un certificado de App Service a través del Azure Portal. Asegúrese de no quitar estos permisos del almacén de claves.

1. Para cambiar la configuración de renovación automática del certificado de App Service en cualquier momento, seleccione el certificado en la página de certificados de App Service.

2. En el menú de la izquierda, seleccione Configuración de renovación automática.

3. Seleccione Activar o Desactivar y haga clic en Guardar.

   Si activa la renovación automática, los certificados podrán empezar a renovarse automáticamente 32 días antes de la expiración.

   

4. Para renovar manualmente el certificado, haga clic en Renovación manual. Puede solicitar renovar manualmente el certificado 60 días antes de la expiración, pero la fecha de expiración máxima será de 397 días.

5. Una vez completada la operación de renovación, seleccione Sincronizar.

   La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

   Nota

   Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Vuelva a especificar la clave de un certificado de App Service

Si piensa que la clave privada del certificado está en peligro, puede volver a especificar la clave del certificado. Esta acción renovará el certificado con un nuevo certificado emitido desde la entidad de certificación.

1. En la página de certificados de App Service, seleccione el certificado. En el menú de la izquierda, seleccione Regenerar claves y sincronizar.

2. Para iniciar el proceso, seleccione Regenerar claves. Este proceso puede tardar de 1 a 10 minutos en completarse.

   

3. También es posible que tenga que volver a confirmar la propiedad del dominio.

4. Después de completar la operación de regeneración de claves, seleccione Sincronizar.

   La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

   Nota

   Si no hace clic en Sincronizar, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Exportación de un certificado de App Service

Dado que un certificado de App Service es un secreto de Key Vault, puede exportar una copia PFX y usarla con otros servicios de Azure o fuera de Azure.

Importante

El certificado exportado es un artefacto no administrado. App Service no sincroniza estos artefactos al renovar el certificado de App Service. El usuario deberá exportar el certificado renovado e instalarlo donde lo necesite.

Azure Portal

1. En la página de certificados de App Service, seleccione el certificado.

2. En el menú de la izquierda, seleccione Exportar certificado.

3. Seleccione Abrir secreto de Key Vault.

4. Seleccione la versión actual del certificado.

5. Seleccione Descargar como certificado.

CLI de Azure

Ejecute los siguientes comandos en Azure Cloud Shell o ejecútelos localmente si instaló la CLI de Azure. Reemplace los marcadores de posición por los nombres que usó cuando compró el certificado de App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

El archivo PFX descargado es un archivo PKCS12 sin formato que contiene los certificados públicos y privados, y una contraseña de importación que es una cadena vacía. Podrá efectuar una instalación local si deja vacío el campo de contraseña. No podrá cargar el archivo directamente en App Service porque no está protegido mediante contraseña.

Eliminación de un certificado de App Service

Si elimina un certificado de App Service, la operación de eliminación es irreversible y definitiva. El resultado es un certificado revocado, y cualquier enlace de App Service que use este certificado dejará de ser válido.

1. En la página de certificados de App Service, seleccione el certificado.

2. En el menú de la izquierda, seleccione Información general>Eliminar.

3. Cuando se abra el cuadro de confirmación, escriba el nombre del certificado y seleccione Aceptar.

Preguntas más frecuentes

Mi certificado de App Service no tiene ningún valor en Key Vault

Es muy probable que el certificado de App Service todavía no esté comprobado por el dominio. Hasta que se confirme la propiedad del dominio, el certificado de App Service no está listo para su uso. Como secreto del almacén de claves, mantiene una etiqueta de Initialize, y su valor y el tipo de contenido permanecen vacíos. Cuando se confirma la propiedad del dominio, el secreto del almacén de claves muestra un valor y un tipo de contenido, y la etiqueta cambia a Ready.

No puedo exportar mi certificado de App Service con PowerShell

Es muy probable que el certificado de App Service todavía no esté comprobado por el dominio. Hasta que se confirme la propiedad del dominio, el certificado de App Service no está listo para su uso.

¿Qué cambios realiza el proceso de creación de certificados App Service en mi Key Vault existente?

El proceso de creación realiza los siguientes cambios:

• Agrega dos directivas de acceso en el almacén:
  • Microsoft.Azure.WebSites (o Microsoft Azure App Service)
  • Proveedor de recursos de CSM de revendedor de certificados de Microsoft (o Microsoft.Azure.CertificateRegistration)
• Crea un bloqueo de eliminación en el almacén denominado: AppServiceCertificateLock para evitar la eliminación accidental del almacén de claves.

Más recursos

• Protección de un nombre DNS personalizado con un enlace TLS/SSL en Azure App Service
• Aplicación de HTTPS
• Aplicación de TLS 1.1 y 1.2
• Uso de un certificado TLS/SSL en el código de Azure App Service
• Preguntas más frecuentes: Certificados de App Service