Incorporación de un certificado TLS/SSL en Azure App Service

Azure App Service proporciona un servicio de hospedaje web muy escalable y con aplicación de revisiones de un modo automático. En este artículo se muestra cómo crear, cargar o importar un certificado privado o un certificado público en App Service.

Una vez que el certificado se agrega a la aplicación de App Service o la aplicación de funciones, se puede proteger un nombre DNS personalizado con él o usarlo en el código de la aplicación.

Nota

Los certificados cargados en una aplicación se almacenan en una unidad de implementación enlazada a la combinación de sistema operativo, región y grupo de recursos del plan de App Service (que internamente se denomina espacio web). De esta manera, los certificados son accesible para otras aplicaciones de la misma combinación de región y grupo de recursos.

En la tabla siguiente se enumeran las opciones que tiene para agregar certificados en App Service:

Opción Descripción
Crear un certificado administrado de App Service gratuito Certificado privado que es gratuito y fácil de usar si solo necesita proteger el dominio personalizado en App Service.
Compra de un certificado de App Service Es un certificado privado administrado por Azure. Combina la simplicidad de la administración automatizada de certificados con la flexibilidad de las opciones de renovación y exportación.
Importación de un certificado de Key Vault Resulta útil si usa Azure Key Vault para administrar los certificados PKCS12. Consulte Requisitos de certificados privados.
Carga de un certificado privado Si ya tiene un certificado privado de un proveedor de terceros, puede cargarlo. Consulte Requisitos de certificados privados.
Carga de un certificado público Los certificados públicos no se usan para proteger los dominios personalizados, pero se pueden cargar en el código si se necesitan para acceder a recursos remotos.

Prerrequisitos

Requisitos de certificados privados

El certificado administrado de App Service gratuito o el certificado de App Service ya cumplen los requisitos de App Service. Si opta por cargar o importar un certificado privado en App Service, este certificado debe cumplir los siguientes requisitos:

  • Se exporta como un archivo PFX protegido por contraseña, que está cifrado con Triple DES.
  • Contener una clave privada con una longitud de al menos 2048 bits
  • Contiene todos los certificados intermedios y el certificado raíz de la cadena de certificados.

Para proteger un dominio personalizado en un enlace TLS, el certificado debe cumplir otros requisitos:

  • Contener un uso mejorado de clave para la autenticación de servidor (OID = 1.3.6.1.5.5.7.3.1)
  • Estar firmado por una entidad de certificación de confianza

Nota

Los certificados de criptografía de curva elíptica (ECC) pueden funcionar con App Service, pero están fuera del ámbito de este artículo. Trabaje con la entidad de certificación sobre los pasos exactos para crear certificados ECC.

Preparar la aplicación web

Para crear enlaces de TLS o SSL personalizados o habilitar certificados de cliente para la aplicación de App Service, el plan de App Service debe ser de nivel Básico, Estándar, Premium o Aislado. En este paso, asegúrese de que la aplicación web se encuentra en el plan de tarifa compatible.

Inicio de sesión en Azure

Abra Azure Portal.

Busque y seleccione App Services.

Select App Services

En la página App Services, seleccione el nombre de la aplicación web.

Screenshot of the App Services page in Azure portal showing a list of all running web apps, with the first app in the list highlighted.

Ha llegado a la página de administración de la aplicación web.

Comprobar el plan de tarifa

En el panel de navegación izquierdo de la página de la aplicación web, desplácese a la sección Configuración y seleccione Escalar verticalmente (plan de App Service) .

Scale-up menu

Asegúrese de que la aplicación web no está en el nivel F1 ni D1. El nivel actual de la aplicación web aparece resaltado con un cuadro azul oscuro.

Check pricing tier

El SSL personalizado no es compatible con los niveles F1 y D1. Si tiene que escalar verticalmente, siga los pasos de la sección siguiente. De lo contrario, cierre la página Escalar verticalmente y omita la sección Scale up your App Service plan (Escalado vertical del plan de App Service).

Escalar verticalmente el plan de App Service

Seleccione cualquiera de los niveles no gratuitos (B1, B2, B3, o cualquier nivel de la categoría Producción). Para ver opciones adicionales, haga clic en Ver opciones adicionales.

Haga clic en Aplicar.

Choose pricing tier

Cuando vea la siguiente notificación, significará que la operación de escalado se habrá completado.

Scale up notification

Crear un certificado administrado gratuito

Nota

Antes de crear un certificado administrado gratuito, compruebe que cumple los requisitos previos de la aplicación.

El certificado administrado de App Service gratuito es una solución inmediata para proteger el nombre DNS personalizado en App Service. Se trata de un certificado de servidor TLS/SSL totalmente administrado por App Service y renovado de forma continua y automática en incrementos de seis meses, 45 días antes de la expiración, siempre y cuando la configuración de los requisitos previos siga siendo la misma sin que sea necesario realizar ninguna acción por su parte. Todos los enlaces asociados se actualizarán con el certificado renovado. Usted crea el certificado y lo enlaza a un dominio personalizado, y deja que App Service se encargue del resto.

Importante

Dado que Azure administra completamente los certificados en su nombre, cualquier aspecto del certificado administrado, incluido el emisor raíz, se puede cambiar en cualquier momento. Estos cambios están fuera de su control. Es recomendable que evite tener una dependencia física o un certificado de práctica "anclado" al certificado administrado o a cualquier parte de la jerarquía de certificados. Si necesita el anclaje de certificados, agregue un certificado al dominio personalizado mediante cualquier otro método disponible en este artículo.

El certificado gratuito presenta las siguientes limitaciones:

  • No admite certificados comodín.
  • No se puede usar como certificado de cliente mediante la huella digital del certificado (está planeada la eliminación de la huella digital del certificado).
  • No admite DNS privado.
  • No se puede exportar.
  • No puede utilizarse en App Service Environment (ASE).
  • Solo admite caracteres alfanuméricos, guiones (-) y puntos (.).
  • Debe tener un registro D que apunte a la dirección IP de la aplicación web.
  • No se admite en aplicaciones que no sean accesibles públicamente.
  • No es compatible con los dominios raíz que se integran con Traffic Manager.
  • Todo lo anterior debe cumplirse para que las renovaciones y las emisiones de certificados se realicen correctamente.

Nota

El certificado gratuito lo emite DigiCert. En algunos dominios, debe permitir explícitamente DigiCert como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue digicert.com.

En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

En el panel de navegación izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Certificados de clave privada (.pfx)>Crear certificado administrado de App Service.

Create free certificate in App Service

Seleccione el dominio personalizado para el que desea crear un certificado gratuito y seleccione Crear. Solo puede crear un certificado para cada dominio personalizado admitido.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.

Create free certificate finished

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Importación de un certificado de App Service

Si adquiere un certificado de App Service de Azure, Azure administra las siguientes tareas:

  • Se ocupa del proceso de compra en GoDaddy.
  • Realiza la comprobación de dominio del certificado.
  • Mantiene el certificado en Azure Key Vault.
  • Administra la renovación del certificado (consulte Renovar un certificado).
  • Sincroniza el certificado automáticamente con las copias importadas en las aplicaciones de App Service.

Para adquirir un certificado de App Service, vaya a Inicio del pedido de certificado.

Si ya tiene un certificado de App Service en funcionamiento, puede realizar lo siguiente:

Nota

En este momento, no se admiten certificados de App Service en nubes nacionales de Azure.

Inicio del pedido de certificado

Inicie el pedido de un certificado de App Service en la página de creación del certificado de App Service.

Nota

Todos los precios mostrados son solo para ejemplos.

Start App Service certificate purchase

Use la tabla siguiente para obtener ayuda para configurar el certificado. Cuando haya terminado, haga clic en Crear.

Configuración Descripción
Subscription La suscripción que contendrá el certificado.
Resource group El grupo de recursos que contendrá el certificado. Puede usar un nuevo grupo de recursos o seleccionar el mismo grupo de recursos que la aplicación de App Service, por ejemplo.
SKU Determine el tipo de certificado a crear, ya sea un certificado estándar o un certificado comodín.
Nombre de host de dominio desnudo Especifique aquí el dominio raíz. El certificado emitido protege al mismo tiempo el dominio raíz y el subdominio www. En el certificado emitido, el campo Nombre común contiene el dominio raíz, mientras que el campo Nombre alternativo del firmante contiene el dominio www. Para proteger cualquier subdominio solamente, especifique el nombre de dominio completo del subdominio aquí (por ejemplo, mysubdomain.contoso.com).
Nombre del certificado Nombre descriptivo para el certificado de App Service.
Habilitar renovación automática Seleccione si el certificado se debe renovar automáticamente antes de que expire. Cada renovación amplía la expiración del certificado en un año y el costo se cobra a la suscripción.

Nota

Los certificados de App Service adquiridos de Azure los emite GoDaddy. En algunos dominios, debe permitir explícitamente GoDaddy como emisor de certificados mediante la creación de un registro de dominio de CAA con el valor 0 issue godaddy.com.

Almacenamiento en Azure Key Vault

Una vez completado el proceso de compra del certificado, hay algunos pasos más que debe completar antes de poder empezar a usarlo.

Seleccione el certificado en la página certificados de App Service y, a continuación, haga clic en Configuración del certificado>Paso 1: Almacenamiento.

Configure Key Vault storage of App Service certificate

Key Vault es un servicio de Azure que ayuda a proteger claves criptográficas y secretos que emplean servicios y aplicaciones en la nube. Es el almacenamiento preferido para certificados de App Service.

En la página Estado de Key Vault, haga clic en Repositorio de Key Vault para crear un nuevo almacén o elegir uno existente. Si decide crear un nuevo almacén, use la tabla siguiente para ayudarle a configurarlo y haga clic en Crear para Cree la nueva instancia de Key Vault dentro de la misma suscripción y el mismo grupo de recursos que la aplicación de App Service.

Configuración Descripción
Nombre Un nombre único que consta de caracteres alfanuméricos y guiones.
Resource group Como recomendación, seleccione el mismo grupo de recursos que tiene el certificado de App Service.
Location Seleccione la misma ubicación que tiene la aplicación de App Service.
Plan de tarifa Para obtener información, consulte Detalles de precios de Azure Key Vault.
Directivas de acceso Define las aplicaciones y el acceso permitido a los recursos del almacén. Puede configurarlo más adelante si sigue los pasos descritos en Asignación de una directiva de acceso de Key Vault.
Acceso de redes virtuales Restringe el acceso de almacén a determinadas redes virtuales de Azure. Puede configurarlo más adelante si sigue los pasos descritos en Configurar firewalls y redes virtuales de Azure Key Vault

Una vez que haya seleccionado el almacén, cierre la página del repositorio de Key Vault. La opción Paso 1: Almacenamiento debería mostrar una marca de verificación verde si se completó correctamente. Mantenga la página abierta para el siguiente paso.

Nota

Actualmente, App Service Certificate solo admite la directiva de acceso de Key Vault, pero no el modelo de RBAC.

Comprobar la propiedad del dominio

En la página Configuración del certificado que usó en el paso 2, haga clic en Paso 2: Comprobación.

Verify domain for App Service certificate

Seleccione Comprobación de App Service. Puesto que ya ha asignado el dominio a la aplicación web (consulte los requisitos previos), este ya se comprobó. Haga clic en Comprobar para finalizar este paso. Haga clic en el botón Actualizar hasta que aparezca el mensaje El certificado tiene el dominio comprobado.

Importante

Para un certificado Estándar, el proveedor de certificados proporciona un certificado para el dominio de nivel superior solicitado y su subdominio de www (por ejemplo, contoso.com y www.contoso.com). Sin embargo, a partir del 1 de diciembre de 2021, se introdujo una restricción en App Service y los métodos de verificación Manual. Ambos usan la comprobación de página HTML para comprobar la propiedad del dominio. Con este método, el proveedor de certificados ya no puede incluir el subdominio de www al emitir, volver a crear claves o renovar un certificado.

Los métodos de comprobación de Dominio y Correo siguen incluyendo el subdominio de www con el dominio de nivel superior solicitado en el certificado.

Nota

Se admiten cuatro tipos de métodos de comprobación de dominio:

  • App Service: es la opción más conveniente cuando el dominio ya está asignado a una aplicación App Service de la misma suscripción. Se aprovecha el hecho de que la aplicación de App Service ya ha comprobado la propiedad del dominio (consulte la nota anterior).
  • Dominio: se comprueba un dominio de App Service que haya adquirido a través de Azure. Azure agrega automáticamente el registro TXT de comprobación en su lugar y completa el proceso.
  • Correo electrónico: se comprueba el dominio mediante el envío de un correo electrónico al administrador de dominio. Cuando selecciona la opción, se proporcionan instrucciones.
  • Manual: se comprueba el dominio ya sea con una página HTML (solo los certificados Estándar, consulte la nota anterior) o un registro TXT de DNS. Cuando selecciona la opción, se proporcionan instrucciones. La opción de página HTML no funciona para las aplicaciones web con la opción "Solo Https" habilitada.

Importación del certificado en App Service

En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Certificados de clave privada (.pfx)>Importar certificado de App Service.

Import App Service certificate in App Service

Seleccione el certificado que acaba de comprar y, después, seleccione Aceptar.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.

Import App Service certificate finished

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Importación de un certificado de Key Vault

Si usa Azure Key Vault para administrar los certificados, puede importar un certificado PKCS12 de Key Vault en App Service, siempre que cumpla los requisitos.

Autorización a App Service para leer desde el almacén

De forma predeterminada, el proveedor de recursos de App Service no tiene acceso al almacén de claves. Para usar un almacén de claves para la implementación de un certificado, debe autorizar al proveedor de recursos acceso de lectura al almacén de claves.

abfa0a7c-a6b6-4736-8310-5855508787cd es el nombre de la entidad de seguridad de servicio del proveedor de recursos para App Service y es el mismo para todas las suscripciones de Azure. Para un entorno en la nube de Azure Government, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 en lugar del nombre de la entidad de seguridad de servicio del proveedor de recursos.

Nota

Actualmente, Key Vault Certificate solo admite la directiva de acceso de Key Vault, pero no el modelo de RBAC.

Importación de un certificado desde el almacén a la aplicación

En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Certificados de clave privada (.pfx)>Importar certificado de Key Vault.

Import Key Vault certificate in App Service

Use la tabla siguiente como ayuda para seleccionar el certificado.

Configuración Descripción
Subscription Suscripción a la que pertenece la instancia de Key Vault.
Key Vault Almacén que incluye el certificado que desea importar.
Certificado Seleccione en la lista de certificados PKCS12 del almacén. Se enumeran todos los certificados PKCS12 del almacén con sus huellas digitales, pero no todos se admiten en App Service.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada. Si se produce un error en la importación, indica que el certificado no cumple los requisitos para App Service.

Import Key Vault certificate finished

Nota

Si actualiza el certificado en Key Vault con un nuevo certificado, App Service sincronizará automáticamente el certificado en un plazo de 24 horas.

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Carga de un certificado privado

Una vez que obtenga un certificado de su proveedor de certificados, siga los pasos que se describen en esta sección para prepararlo para App Service.

Combinación de certificados intermedios

Si la entidad emisora de certificados ofrece varios certificados en la cadena de certificados, debe combinar los certificados en orden.

Para ello, abra cada certificado que ha recibido en un editor de texto.

Cree un archivo para el certificado combinado, denominado mergedcertificate.crt. En un editor de texto, copie el contenido de cada certificado en este archivo. Los certificados deben seguir el orden de la cadena de certificados, comenzando por el certificado y terminando por el certificado raíz. Debe ser similar al ejemplo siguiente:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportar el certificado a PFX

Exporte el certificado TLS/SSL personalizado con la clave privada que utilizó para generar la solicitud de certificado.

Si la solicitud de certificado se genera con OpenSSL, se crea un archivo de clave privada. Para exportar el certificado a PFX, ejecute el comando siguiente: Reemplace los marcadores de posición <private-key-file> y <merged-certificate-file> por la ruta a la clave privada y al archivo de certificado combinado.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Cuando se le pida, defina una contraseña de exportación. Esta contraseña deberá usarla cuando posteriormente cargue el certificado TLS/SSL en App Service.

Si usó IIS o Certreq.exe para generar la solicitud de certificado, instale el certificado en la máquina local y luego exporte el certificado a PFX.

Carga del certificado en App Service

Ya está listo para cargar el certificado en App Service.

En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

En el panel izquierdo de la aplicación, seleccione Configuración de TLS/SSL>Certificados de clave privada (.pfx)>Cargar certificado.

Upload private certificate in App Service

En Archivo de certificado PFX, seleccione el archivo PFX. En Contraseña del certificado, escriba la contraseña que creó al exportar el archivo PFX. Cuando termine, haga clic en Cargar.

Cuando se complete la operación, verá el certificado en la lista Certificados de clave privada.

Upload certificate finished

Importante

Para proteger un dominio personalizado con este certificado, todavía debe crear un enlace de certificado. Siga los pasos descritos en Creación del enlace.

Carga de un certificado público

Se admiten certificados públicos en el formato .cer.

En Azure Portal, en el menú de la izquierda, seleccione App Services><nombre-de-aplicación>.

En el panel de navegación izquierdo de la aplicación, haga clic en Configuración de TLS/SSL>Certificados públicos (.cer)>Cargar certificado de clave pública.

En Nombre, escriba un nombre para el certificado. En Archivo de certificado CER, seleccione el archivo CER.

Haga clic en Cargar.

Upload public certificate in App Service

Una vez que el certificado se cargue, copie la huella digital del certificado y consulte Que el certificado sea accesible.

Renovación de un certificado que va a expirar

Antes de que expire un certificado, debe agregar el certificado renovado a App Service y actualizar cualquier enlace TLS/SSL. El proceso depende del tipo de certificado. Por ejemplo, un certificado importado de Key Vault, incluido un certificado de App Service, se sincroniza automáticamente con App Service cada 24 horas y actualiza el enlace TLS/SSL cuando se renueva el certificado. Para un certificado cargado, no hay ninguna actualización de enlace automática. Consulte una de las secciones siguientes en función de su escenario:

Renovación de un certificado cargado

Para reemplazar un certificado que expira, la forma de actualizar el enlace de certificado con el nuevo certificado puede afectar negativamente a la experiencia del usuario. Por ejemplo, su dirección IP de entrada puede cambiar al eliminar un enlace, incluso si este se basa en IP. Esto es especialmente importante al renovar un certificado que ya está en un enlace basado en IP. Para evitar modificaciones en la dirección IP de la aplicación y el tiempo de inactividad de la aplicación debido a errores HTTPS, siga estos pasos en orden:

  1. Cargue el nuevo certificado.
  2. Enlace el nuevo certificado al mismo dominio personalizado sin eliminar el certificado existente (que expira). Esta acción reemplaza el enlace en lugar de quitar el enlace de certificado existente. Para ello, vaya al panel de configuración de TLS/SSL de App Service y seleccione el botón Agregar enlace.
  3. Elimine el certificado existente.

Renovación de un certificado de App Service

Nota

A partir del 23 de septiembre de 2021, los certificados de App Service requieren la comprobación del dominio al renovar o volver a especificar la clave si no ha comprobado el dominio en los últimos 395 días. El nuevo pedido de certificado permanece en "pendiente de emisión" al renovar o volver a especificar la clave hasta que complete la comprobación del dominio.

A diferencia del certificado administrado de App Service, la nueva verificación del dominio para los certificados de App Service no está automatizada y, si no se puede comprobar la propiedad del dominio, se produce un error en las renovaciones. Consulte Comprobar la propiedad del dominio para más información sobre cómo comprobar el certificado de App Service.

Nota

El proceso de renovación requiere que la entidad de servicio conocida para App Service tenga los permisos necesarios en el almacén de claves. Este permiso se configura automáticamente al importar un App Service Certificate a través del portal y no se debe quitar del almacén de claves.

De forma predeterminada, los certificados de App Service tienen un período de validez de un año. Cerca del momento de expiración, los certificados de App Service, se pueden renovar en incrementos de un año de forma automática o manual. De hecho, el proceso de renovación proporciona un nuevo certificado de App Service con la fecha de expiración extendida a un año desde la fecha de expiración del certificado existente.

Para alternar la configuración de renovación automática del certificado de App Service en cualquier momento, seleccione el certificado en la página Certificados de App Service y, a continuación, haga clic en Configuración de renovación automática en el panel de navegación izquierdo.

Seleccione Activar o Desactivar y haga clic en Guardar. Los certificados pueden empezar a renovarse automáticamente 32 días antes del vencimiento si opción de renovación automática está activada.

Renew App Service certificate automatically

En cambio, para renovar manualmente el certificado, haga clic en Renovación manual. Puede solicitar renovar manualmente el certificado de 60 días antes de que expire.

Una vez que se completa la operación de renovación, haga clic en Sincronizar. La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

Nota

Si no hace clic en Sincronizar, App Service sincroniza automáticamente el certificado en un plazo de 24 horas.

Renovación de un certificado importado desde Key Vault

Para renovar un certificado que importó en App Service desde Key Vault, consulte Renovación de los certificados de Azure Key Vault.

Cuando el certificado se renueva en el almacén de claves, App Service automáticamente sincroniza el nuevo certificado y actualiza cualquier enlace TLS/SSL aplicable en un plazo de 24 horas. Para sincronizar manualmente:

  1. Vaya a la página de configuración de TLS/SSL de la aplicación.
  2. Seleccione el certificado importado en Certificados de clave privada.
  3. Haga clic en Sincronizar.

Administración de certificados de App Service

En esta sección se muestra cómo administrar un certificado de App Service que se ha adquirido.

Además, consulte Renovación de los certificados de Azure Key Vault.

Volver a especificar la clave del certificado

Si piensa que la clave privada del certificado está en peligro, puede volver a especificar la clave del certificado. Seleccione el certificado en la página Certificados de App Service y, después, seleccione Regenerar claves y sincronizar desde el panel de navegación izquierdo.

Haga clic en el botón Regenerar clave para iniciar el proceso. Este proceso puede tardar de 1 a 10 minutos en completarse.

Rekey an App Service certificate

La regeneración de claves del certificado renovará el certificado con un nuevo certificado emitido desde la entidad de certificación.

Es posible que deba volver a comprobar la propiedad del dominio.

Una vez que se complete la operación de regeneración de claves, haga clic en Sincronizar. La operación de sincronización actualiza automáticamente los enlaces de nombre de host para el certificado en App Service sin tiempo de inactividad para las aplicaciones.

Nota

Si no hace clic en Sincronizar, App Service sincroniza automáticamente el certificado en un plazo de 24 horas.

Exportación de certificado

Dado que un certificado de App Service es un secreto de Key Vault, puede exportar una copia PFX y usarla para otros servicios de Azure o fuera de Azure.

Nota

El certificado exportado es un artefacto no administrado. Por ejemplo, no se sincroniza cuando se renueva la instancia de App Service Certificate. Debe exportar el certificado renovado e instalarlo donde lo necesite.

  1. Seleccione el certificado en la página Certificados de App Service y, después, seleccione Exportar certificado desde el panel de navegación izquierdo.

  2. Seleccione Abrir en Key Vault.

  3. Seleccione la versión actual del certificado.

  4. Seleccione Descargar como certificado.

El archivo PFX descargado es un archivo PKCS12 sin formato que contiene los certificados públicos y privados, y su contraseña de importación es una cadena vacía. Puede instalarlo localmente si deja vacío el campo de contraseña. Es importante destacar el hecho de que no se puede cargar en App Service tal y como está porque no está protegido con contraseña.

Eliminar certificado

La eliminación de un certificado de App Service es final e irreversible. La eliminación de un recurso App Service Certificate da como resultado la revocación del certificado. Cualquier enlace en App Service con este certificado dejará de ser válido. Para evitar la eliminación accidental, Azure coloca un bloqueo en el certificado. Para eliminar un certificado de App Service, antes debe quitar su bloqueo de eliminación.

Seleccione el certificado en la página Certificados de App Service y, después, seleccione Bloqueos en el panel de navegación izquierdo.

Busque el bloqueo en el certificado con el tipo de bloqueo Eliminar. A la derecha de él, seleccione Eliminar.

Delete lock for App Service certificate

Ahora puede eliminar el certificado de App Service. En el panel de navegación izquierdo, seleccione Información general>Eliminar. En el cuadro de diálogo de confirmación, escriba el nombre del certificado y seleccione Aceptar.

Automatizar con scripts

Azure CLI

Enlace de un certificado TLS/SSL personalizado a una aplicación web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Más recursos