Incorporación de un certificado TLS/SSL en Azure App ServiceAdd a TLS/SSL certificate in Azure App Service

Azure App Service proporciona un servicio de hospedaje web muy escalable y con aplicación de revisiones de un modo automático.Azure App Service provides a highly scalable, self-patching web hosting service. En este artículo se muestra cómo crear, cargar o importar un certificado privado o un certificado público en App Service.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Una vez que el certificado se agrega a la aplicación de App Service o la aplicación de funciones, se puede proteger un nombre DNS personalizado con él o usarlo en el código de la aplicación.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

Nota

Los certificado cargados en una aplicación se almacenan en una unidad de implementación enlazada a la combinación de la región y el grupo de recursos de la aplicación (que internamente se denomina espacio web).A certificate uploaded into an app is stored in a deployment unit that is bound to the app's resource group and region combination (internally called a webspace). De esta manera, los certificados son accesible para otras aplicaciones de la misma combinación de región y grupo de recursos.This makes the certificate accessible to other apps in the same resource group and region combination.

En la tabla siguiente se enumeran las opciones que tiene para agregar certificados en App Service:The following table lists the options you have for adding certificates in App Service:

OpciónOption DescripciónDescription
Creación de un certificado administrado de App Service gratuito (versión preliminar)Create a free App Service Managed Certificate (Preview) Certificado privado que es gratuito y fácil de usar si solo necesita proteger el dominio personalizado en App Service.A private certificate that's free of charge and easy to use if you just need to secure your custom domain in App Service.
Compra de un certificado de App ServicePurchase an App Service certificate Es un certificado privado administrado por Azure.A private certificate that's managed by Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importación de un certificado de Key VaultImport a certificate from Key Vault Resulta útil si usa Azure Key Vault para administrar los certificados PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Consulte Requisitos de certificados privados.See Private certificate requirements.
Carga de un certificado privadoUpload a private certificate Si ya tiene un certificado privado de un proveedor de terceros, puede cargarlo.If you already have a private certificate from a third-party provider, you can upload it. Consulte Requisitos de certificados privados.See Private certificate requirements.
Carga de un certificado públicoUpload a public certificate Los certificados públicos no se usan para proteger los dominios personalizados, pero se pueden cargar en el código si se necesitan para acceder a recursos remotos.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

PrerrequisitosPrerequisites

Requisitos de certificados privadosPrivate certificate requirements

El certificado gratuito administrado por App Service o el certificado de App Service ya cumplen los requisitos de App Service.The free App Service Managed Certificate and the App Service certificate already satisfy the requirements of App Service. Si opta por cargar o importar un certificado privado en App Service, este certificado debe cumplir los siguientes requisitos:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Se exporta como un archivo PFX protegido por contraseña, que está cifrado con Triple DES.Exported as a password-protected PFX file, encrypted using triple DES.
  • Contener una clave privada con una longitud de al menos 2048 bitsContains private key at least 2048 bits long
  • Contener todos los certificados intermedios de la cadena de certificadosContains all intermediate certificates in the certificate chain

Para proteger un dominio personalizado en un enlace TLS, el certificado debe cumplir otros requisitos:To secure a custom domain in a TLS binding, the certificate has additional requirements:

  • Contener un uso mejorado de clave para la autenticación de servidor (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Estar firmado por una entidad de certificación de confianzaSigned by a trusted certificate authority

Nota

Los certificados de criptografía de curva elíptica (ECC) pueden funcionar con App Service, pero están fuera del ámbito de este artículo.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Trabaje con la entidad de certificación sobre los pasos exactos para crear certificados ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Preparar la aplicación webPrepare your web app

Para crear enlaces de TLS o SSL personalizados o habilitar certificados de cliente para la aplicación de App Service, el plan de App Service debe ser de nivel Básico, Estándar, Premium o Aislado.To create custom TLS/SSL bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. En este paso, asegúrese de que la aplicación web se encuentra en el plan de tarifa compatible.In this step, you make sure that your web app is in the supported pricing tier.

Inicio de sesión en AzureSign in to Azure

Abra Azure Portal.Open the Azure portal.

Busque y seleccione App Services.Search for and select App Services.

Selección de App Services

En la página App Services, seleccione el nombre de la aplicación web.On the App Services page, select the name of your web app.

Captura de pantalla de la página App Services de Azure Portal, en la que se muestra una lista de todas las aplicaciones web en ejecución en la que la primera está resaltada.

Ha llegado a la página de administración de la aplicación web.You have landed on the management page of your web app.

Comprobar el plan de tarifaCheck the pricing tier

En el panel de navegación izquierdo de la página de la aplicación web, desplácese a la sección Configuración y seleccione Escalar verticalmente (plan de App Service) .In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menú Escalar verticalmente

Asegúrese de que la aplicación web no está en el nivel F1 ni D1.Check to make sure that your web app is not in the F1 or D1 tier. El nivel actual de la aplicación web aparece resaltado con un cuadro azul oscuro.Your web app's current tier is highlighted by a dark blue box.

Comprobar plan de tarifa

El SSL personalizado no es compatible con los niveles F1 y D1.Custom SSL is not supported in the F1 or D1 tier. Si tiene que escalar verticalmente, siga los pasos de la sección siguiente.If you need to scale up, follow the steps in the next section. De lo contrario, cierre la página Escalar verticalmente y omita la sección Scale up your App Service plan (Escalado vertical del plan de App Service).Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Escalar verticalmente el plan de App ServiceScale up your App Service plan

Seleccione cualquiera de los niveles no gratuitos (B1, B2, B3, o cualquier nivel de la categoría Producción).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Para ver opciones adicionales, haga clic en Ver opciones adicionales.For additional options, click See additional options.

Haga clic en Aplicar.Click Apply.

Elegir plan de tarifa

Cuando vea la siguiente notificación, significará que la operación de escalado se habrá completado.When you see the following notification, the scale operation is complete.

Notificación de escalado vertical

Creación de un certificado administrado gratuito (versión preliminar)Create a free managed certificate (Preview)

Nota

Antes de crear un certificado administrado gratuito, compruebe que cumple los requisitos previos de la aplicación.Before creating a free managed certificate, make sure you have fulfilled the prerequisites for your app.

El certificado administrado de App Service gratuito es una solución inmediata para proteger el nombre DNS personalizado en App Service.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. Se trata de un certificado TLS/SSL totalmente funcional administrado por App Service que se renueva automáticamente.It's a fully functional TLS/SSL certificate that's managed by App Service and renewed automatically. El certificado gratuito presenta las siguientes limitaciones:The free certificate comes with the following limitations:

  • No admite certificados comodín.Does not support wildcard certificates.
  • No se puede exportar.Is not exportable.
  • No puede utilizarse en App Service Environment (ASE).Is not supported on App Service Environment (ASE).
  • No es compatible con los dominios raíz que se integran con Traffic Manager.Is not supported with root domains that are integrated with Traffic Manager.

Nota

El certificado gratuito lo emite DigiCert.The free certificate is issued by DigiCert. En algunos dominios de nivel superior debe permitir explícitamente DigiCert como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue digicert.com.For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

En Azure Portal, en el menú de la izquierda, seleccione App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

En el panel de navegación izquierdo de la aplicación, seleccione Configuración de TLS/SSL > Certificados de clave privada (.pfx) > Crear certificado administrado de App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Creación de un certificado gratuito en App Service

Seleccione el dominio personalizado para el que desea crear un certificado gratuito y seleccione Crear.Select the custom domain to create a free certificate for and select Create. Solo puede crear un certificado para cada dominio personalizado admitido.You can create only one certificate for each supported custom domain.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.When the operation completes, you see the certificate in the Private Key Certificates list.

Creación del certificado gratuito finalizada

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga los pasos descritos en Creación del enlace.Follow the steps in Create binding.

Importación de un certificado de App ServiceImport an App Service Certificate

Si adquiere un certificado de App Service de Azure, Azure administra las siguientes tareas:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Se ocupa del proceso de compra en GoDaddy.Takes care of the purchase process from GoDaddy.
  • Realiza la comprobación de dominio del certificado.Performs domain verification of the certificate.
  • Mantiene el certificado en Azure Key Vault.Maintains the certificate in Azure Key Vault.
  • Administra la renovación del certificado (consulte Renovar un certificado).Manages certificate renewal (see Renew certificate).
  • Sincroniza el certificado automáticamente con las copias importadas en las aplicaciones de App Service.Synchronize the certificate automatically with the imported copies in App Service apps.

Para adquirir un certificado de App Service, vaya a Inicio del pedido de certificado.To purchase an App Service certificate, go to Start certificate order.

Si ya tiene un certificado de App Service en funcionamiento, puede realizar lo siguiente:If you already have a working App Service certificate, you can:

Nota

En este momento, no se admiten certificados de App Service en nubes nacionales de Azure.App Service Certificates are not supported in Azure National Clouds at this time.

Inicio del pedido de certificadoStart certificate order

Inicie el pedido de un certificado de App Service en la página de creación del certificado de App Service.Start an App Service certificate order in the App Service Certificate create page.

Inicio de la compra del certificado de App Service

Use la tabla siguiente para obtener ayuda para configurar el certificado.Use the following table to help you configure the certificate. Cuando haya terminado, haga clic en Crear.When finished, click Create.

ConfiguraciónSetting DescripciónDescription
NombreName Nombre descriptivo para el certificado de App Service.A friendly name for your App Service certificate.
Nombre de host de dominio desnudoNaked Domain Host Name Especifique aquí el dominio raíz.Specify the root domain here. El certificado emitido protege al mismo tiempo el dominio raíz y el subdominio www.The issued certificate secures both the root domain and the www subdomain. En el certificado emitido, el campo Nombre común contiene el dominio raíz, mientras que el campo Nombre alternativo del firmante contiene el dominio www.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Para proteger cualquier subdominio solamente, especifique el nombre de dominio completo del subdominio aquí (por ejemplo, mysubdomain.contoso.com).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubscriptionSubscription La suscripción que contendrá el certificado.The subscription that will contain the certificate.
Resource groupResource group El grupo de recursos que contendrá el certificado.The resource group that will contain the certificate. Puede usar un nuevo grupo de recursos o seleccionar el mismo grupo de recursos que la aplicación de App Service, por ejemplo.You can use a new resource group or select the same resource group as your App Service app, for example.
SKU de certificadoCertificate SKU Determine el tipo de certificado a crear, ya sea un certificado estándar o un certificado comodín.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Términos legalesLegal Terms Haga clic para confirmar que está de acuerdo con los términos legales.Click to confirm that you agree with the legal terms. Los certificados se obtienen de GoDaddy.The certificates are obtained from GoDaddy.

Nota

Los certificados de App Service adquiridos de Azure los emite GoDaddy.App Service Certificates purchased from Azure are issued by GoDaddy. En algunos dominios de nivel superior debe permitir explícitamente GoDaddy como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue godaddy.com.For some top-level domains, you must explicitly allow GoDaddy as a certificate issuer by creating a CAA domain record with the value: 0 issue godaddy.com

Almacenamiento en Azure Key VaultStore in Azure Key Vault

Una vez completado el proceso de compra del certificado, hay algunos pasos más que debe completar antes de poder empezar a usarlo.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Seleccione el certificado en la página certificados de App Service y, a continuación, haga clic en Configuración del certificado > Paso 1: Almacenamiento.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Configuración del almacenamiento en Key Vault del certificado de App Service

Key Vault es un servicio de Azure que ayuda a proteger claves criptográficas y secretos que emplean servicios y aplicaciones en la nube.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. Es el almacenamiento preferido para certificados de App Service.It's the storage of choice for App Service certificates.

En la página Estado de Key Vault, haga clic en Repositorio de Key Vault para crear un nuevo almacén o elegir uno existente.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Si decide crear un nuevo almacén, use la tabla siguiente para ayudarle a configurarlo y haga clic en Crear paraIf you choose to create a new vault, use the following table to help you configure the vault and click Create. Cree la nueva instancia de Key Vault dentro de la misma suscripción y el mismo grupo de recursos que la aplicación de App Service.Create the new Key Vault inside the same subscription and resource group as your App Service app.

ConfiguraciónSetting DescripciónDescription
NombreName Un nombre único que consta de caracteres alfanuméricos y guiones.A unique name that consists for alphanumeric characters and dashes.
Resource groupResource group Como recomendación, seleccione el mismo grupo de recursos que tiene el certificado de App Service.As a recommendation, select the same resource group as your App Service certificate.
LocationLocation Seleccione la misma ubicación que tiene la aplicación de App Service.Select the same location as your App Service app.
Plan de tarifaPricing tier Para obtener información, consulte Detalles de precios de Azure Key Vault.For information, see Azure Key Vault pricing details.
Directivas de accesoAccess policies Define las aplicaciones y el acceso permitido a los recursos del almacén.Defines the applications and the allowed access to the vault resources. Puede configurarlo más adelante si sigue los pasos descritos en Asignación de una directiva de acceso de Key Vault.You can configure it later, following the steps at Assign a Key Vault access policy.
Acceso de redes virtualesVirtual Network Access Restringe el acceso de almacén a determinadas redes virtuales de Azure.Restrict vault access to certain Azure virtual networks. Puede configurarlo más adelante si sigue los pasos descritos en Configurar firewalls y redes virtuales de Azure Key VaultYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Una vez que haya seleccionado el almacén, cierre la página del repositorio de Key Vault.Once you've selected the vault, close the Key Vault Repository page. La opción Paso 1: Almacenamiento debería mostrar una marca de verificación verde si se completó correctamente.The Step 1: Store option should show a green check mark for success. Mantenga la página abierta para el siguiente paso.Keep the page open for the next step.

Comprobar la propiedad del dominioVerify domain ownership

En la página Configuración del certificado que usó en el paso 2, haga clic en Paso 2: Comprobación.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Comprobación del dominio del certificado de App Service

Seleccione Comprobación de App Service.Select App Service Verification. Puesto que ya ha asignado el dominio a la aplicación web (consulte los requisitos previos), este ya se comprobó.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Haga clic en Comprobar para finalizar este paso.Just click Verify to finish this step. Haga clic en el botón Actualizar hasta que aparezca el mensaje El certificado tiene el dominio comprobado.Click the Refresh button until the message Certificate is Domain Verified appears.

Nota

Se admiten cuatro tipos de métodos de comprobación de dominio:Four types of domain verification methods are supported:

  • App Service: es la opción más conveniente cuando el dominio ya está asignado a una aplicación App Service de la misma suscripción.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Se aprovecha de que la aplicación App Service ya ha comprobado la propiedad del dominio.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Dominio: se comprueba un dominio de App Service que haya adquirido a través de Azure.Domain - Verify an App Service domain that you purchased from Azure. Azure agrega automáticamente el registro TXT de comprobación en su lugar y completa el proceso.Azure automatically adds the verification TXT record for you and completes the process.
  • Correo electrónico: se comprueba el dominio mediante el envío de un correo electrónico al administrador de dominio.Mail - Verify the domain by sending an email to the domain administrator. Cuando selecciona la opción, se proporcionan instrucciones.Instructions are provided when you select the option.
  • Manual: se comprueba el dominio ya sea con una página HTML (solo los certificados estándar) o un registro TXT de DNS.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. Cuando selecciona la opción, se proporcionan instrucciones.Instructions are provided when you select the option.

Importación del certificado en App ServiceImport certificate into App Service

En Azure Portal, en el menú de la izquierda, seleccione App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL > Certificados de clave privada (.pfx) > Importar certificado de App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importación del certificado de App Service en App Service

Seleccione el certificado que acaba de comprar y, después, seleccione Aceptar.Select the certificate that you just purchased and select OK.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.When the operation completes, you see the certificate in the Private Key Certificates list.

Importación del certificado de App Service finalizada

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga los pasos descritos en Creación del enlace.Follow the steps in Create binding.

Importación de un certificado de Key VaultImport a certificate from Key Vault

Si usa Azure Key Vault para administrar los certificados, puede importar un certificado PKCS12 de Key Vault en App Service, siempre que cumpla los requisitos.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

Autorización a App Service para leer desde el almacénAuthorize App Service to read from the vault

De forma predeterminada, el proveedor de recursos de App Service no tiene acceso al almacén de claves.By default, the App Service resource provider doesn’t have access to the Key Vault. Para usar un almacén de claves para la implementación de un certificado, debe autorizar al proveedor de recursos acceso de lectura al almacén de claves.In order to use a Key Vault for a certificate deployment, you need to authorize the resource provider read access to the KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd es el nombre de la entidad de seguridad de servicio del proveedor de recursos para App Service y es el mismo para todas las suscripciones de Azure.abfa0a7c-a6b6-4736-8310-5855508787cd is the resource provider service principal name for App Service, and it's the same for all Azure subscriptions. Para un entorno en la nube de Azure Government, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 en lugar del nombre de la entidad de seguridad de servicio del proveedor de recursos.For Azure Government cloud environment, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 instead as the resource provider service principal name.

Importación de un certificado desde el almacén a la aplicaciónImport a certificate from your vault to your app

En Azure Portal, en el menú de la izquierda, seleccione App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL > Certificados de clave privada (.pfx) > Importar certificado de Key Vault.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importación de un certificado de Key Vault en App Service

Use la tabla siguiente como ayuda para seleccionar el certificado.Use the following table to help you select the certificate.

ConfiguraciónSetting DescripciónDescription
SubscriptionSubscription Suscripción a la que pertenece la instancia de Key Vault.The subscription that the Key Vault belongs to.
Key VaultKey Vault Almacén que incluye el certificado que desea importar.The vault with the certificate you want to import.
CertificadoCertificate Seleccione en la lista de certificados PKCS12 del almacén.Select from the list of PKCS12 certificates in the vault. Se enumeran todos los certificados PKCS12 del almacén con sus huellas digitales, pero no todos se admiten en App Service.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.When the operation completes, you see the certificate in the Private Key Certificates list. Si se produce un error en la importación, indica que el certificado no cumple los requisitos para App Service.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Importación del certificado de Key Vault finalizada

Nota

Si actualiza el certificado en Key Vault con un nuevo certificado, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.If you update your certificate in Key Vault with a new certificate, App Service automatically syncs your certificate within 24 hours.

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga los pasos descritos en Creación del enlace.Follow the steps in Create binding.

Carga de un certificado privadoUpload a private certificate

Una vez que obtenga un certificado de su proveedor de certificados, siga los pasos que se describen en esta sección para prepararlo para App Service.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Combinación de certificados intermediosMerge intermediate certificates

Si la entidad emisora de certificados ofrece varios certificados en la cadena de certificados, debe combinar los certificados en orden.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Para ello, abra cada certificado que ha recibido en un editor de texto.To do this, open each certificate you received in a text editor.

Cree un archivo para el certificado combinado, denominado mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. En un editor de texto, copie el contenido de cada certificado en este archivo.In a text editor, copy the content of each certificate into this file. Los certificados deben seguir el orden de la cadena de certificados, comenzando por el certificado y terminando por el certificado raíz.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. Debe ser similar al ejemplo siguiente:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportar el certificado a PFXExport certificate to PFX

Exporte el certificado TLS/SSL personalizado con la clave privada que utilizó para generar la solicitud de certificado.Export your merged TLS/SSL certificate with the private key that your certificate request was generated with.

Si la solicitud de certificado se genera con OpenSSL, se crea un archivo de clave privada.If you generated your certificate request using OpenSSL, then you have created a private key file. Para exportar el certificado a PFX, ejecute el comando siguiente:To export your certificate to PFX, run the following command. Reemplace los marcadores de posición <private-key-file> y <merged-certificate-file> por la ruta a la clave privada y al archivo de certificado combinado.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Cuando se le pida, defina una contraseña de exportación.When prompted, define an export password. Esta contraseña deberá usarla cuando posteriormente cargue el certificado TLS/SSL en App Service.You'll use this password when uploading your TLS/SSL certificate to App Service later.

Si usó IIS o Certreq.exe para generar la solicitud de certificado, instale el certificado en la máquina local y luego exporte el certificado a PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Carga del certificado en App ServiceUpload certificate to App Service

Ya está listo para cargar el certificado en App Service.You're now ready upload the certificate to App Service.

En Azure Portal, en el menú de la izquierda, seleccione App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL > Certificados de clave privada (.pfx) > Cargar certificado.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Carga del certificado privado en App Service

En Archivo de certificado PFX, seleccione el archivo PFX.In PFX Certificate File, select your PFX file. En Contraseña del certificado, escriba la contraseña que creó al exportar el archivo PFX.In Certificate password, type the password that you created when you exported the PFX file. Cuando termine, haga clic en Cargar.When finished, click Upload.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.When the operation completes, you see the certificate in the Private Key Certificates list.

Carga del certificado finalizada

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga los pasos descritos en Creación del enlace.Follow the steps in Create binding.

Carga de un certificado públicoUpload a public certificate

Se admiten certificados públicos en el formato .cer.Public certificates are supported in the .cer format.

En Azure Portal, en el menú de la izquierda, seleccione App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

En el panel de navegación izquierdo de la aplicación, haga clic en Configuración de TLS/SSL > Certificados públicos (.cer) > Cargar certificado de clave pública.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

En Nombre, escriba un nombre para el certificado.In Name, type a name for the certificate. En Archivo de certificado CER, seleccione el archivo CER.In CER Certificate file, select your CER file.

Haga clic en Cargar.Click Upload.

Carga de un certificado público en App Service

Una vez que el certificado se cargue, copie la huella digital del certificado y consulte Que el certificado sea accesible.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Administración de certificados de App ServiceManage App Service certificates

En esta sección se muestra cómo administrar un certificado de App Service adquirido en Importación de un certificado de App Service.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Volver a especificar la clave del certificadoRekey certificate

Si piensa que la clave privada del certificado está en peligro, puede volver a especificar la clave del certificado.If you think your certificate's private key is compromised, you can rekey your certificate. Seleccione el certificado en la página Certificados de App Service y, después, seleccione Regenerar claves y sincronizar desde el panel de navegación izquierdo.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Haga clic en el botón Regenerar clave para iniciar el proceso.Click Rekey to start the process. Este proceso puede tardar de 1 a 10 minutos en completarse.This process can take 1-10 minutes to complete.

Nueva especificación de la clave de un certificado de App Service

La regeneración de claves del certificado renovará el certificado con un nuevo certificado emitido desde la entidad de certificación.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Una vez que se complete la operación de regeneración de claves, haga clic en Sincronizar. La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Si no hace clic en Sincronizar, App Service sincroniza automáticamente el certificado en un plazo de 24 horas.If you don't click Sync, App Service automatically syncs your certificate within 24 hours.

Renovar un certificadoRenew certificate

Para activar la renovación automática del certificado en cualquier momento, seleccione el certificado en la página Certificados de App Service y, después, haga clic en Configuración de renovación automática en el panel de navegación izquierdo.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. De forma predeterminada, los certificados de App Service tienen un período de validez de un año.By default, App Service Certificates have a one-year validity period.

Seleccione Activar y luego haga clic en Guardar.Select On and click Save. Los certificados pueden comenzar a renovarse automáticamente 30 días antes del vencimiento si tiene activada la renovación automática.Certificates can start automatically renewing 30 days before expiration if you have automatic renewal turned on.

Renovación automática del certificado de App Service

En cambio, para renovar manualmente el certificado, haga clic en Renovación manual.To manually renew the certificate instead, click Manual Renew. Puede solicitar renovar manualmente el certificado de 60 días antes de que expire.You can request to manually renew your certificate 60 days before expiration.

Una vez que se completa la operación de renovación, haga clic en Sincronizar. La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Si no hace clic en Sincronizar, App Service sincroniza automáticamente el certificado en un plazo de 24 horas.If you don't click Sync, App Service automatically syncs your certificate within 24 hours.

Exportación de certificadoExport certificate

Dado que un certificado de App Service es un secreto de Key Vault, puede exportar una copia PFX y usarla para otros servicios de Azure o fuera de Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Para exportar el certificado de App Service como un archivo PFX, ejecute los siguientes comandos en Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. También puede ejecutarlo localmente si instaló la CLI de Azure.You can also run it locally if you installed Azure CLI. Reemplace los marcadores de posición por los nombres que usó cuando creó el certificado de App Service.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

El archivo appservicecertificate.pfx descargado es un archivo PKCS12 sin procesar que contiene los certificados tanto público como privado.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. En cada solicitud, use una cadena vacía para la contraseña de importación y la frase de contraseña PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Eliminar certificadoDelete certificate

La eliminación de un certificado de App Service es final e irreversible.Deletion of an App Service certificate is final and irreversible. La eliminación de un recurso de App Service Certificate da como resultado la revocación del certificado.Deletion of a App Service Certificate resource results in the certificate being revoked. Cualquier enlace en App Service con este certificado dejará de ser válido.Any binding in App Service with this certificate becomes invalid. Para evitar la eliminación accidental, Azure coloca un bloqueo en el certificado.To prevent accidental deletion, Azure puts a lock on the certificate. Para eliminar un certificado de App Service, antes debe quitar su bloqueo de eliminación.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Seleccione el certificado en la página Certificados de App Service y, después, seleccione Bloqueos en el panel de navegación izquierdo.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Busque el bloqueo en el certificado con el tipo de bloqueo Eliminar.Find the lock on your certificate with the lock type Delete. A la derecha de él, seleccione Eliminar.To the right of it, select Delete.

Eliminación del bloqueo del certificado de App Service

<span data-ttu-id="021e9-362">Ahora puede eliminar el certificado de App Service.Now you can delete the App Service certificate. En el panel de navegación izquierdo, seleccione Información general > Eliminar.From the left navigation, select Overview > Delete. En el cuadro de diálogo de confirmación, escriba el nombre del certificado y seleccione Aceptar.In the confirmation dialog, type the certificate name and select OK.

Automatizar con scriptsAutomate with scripts

Azure CLIAzure CLI

[!code-azurecli[main](../../cli_scripts/app-service/configure-ssl-certificate/configure-ssl-certificate.sh?highlight=3-5 "Bind a custom TLS/SSL certificate to a web app")]

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Más recursosMore resources