Ajouter un certificat TLS/SSL dans Azure App Service

Azure App Service offre un service d’hébergement web hautement évolutif appliquant des mises à jour correctives automatiques. Cet article explique comment créer, charger ou importer un certificat privé ou public dans App Service.

Une fois le certificat ajouté à votre application App Service ou à votre application de fonction, vous pouvez sécuriser un nom DNS personnalisé avec celui-ci ou l’utiliser dans votre code d’application.

Notes

Quand un certificat est chargé dans une application, celui-ci est stocké dans une unité de déploiement qui est liée à la combinaison Groupe de ressources/Région (appelée en interne espace web) du plan App Service. De cette façon, le certificat est accessible aux autres applications qui sont associées à la même combinaison Groupe de ressources/Région.

Le tableau suivant répertorie les options permettant d’ajouter des certificats dans App Service :

Option Description
Créer un certificat managé App Service gratuit Certificat privé gratuit et facile à utiliser si vous devez simplement sécuriser votre domaine personnalisé dans App Service.
Acheter un certificat App Service Certificat privé managé par Azure. Il combine la simplicité d’une gestion automatisée et la flexibilité des options de renouvellement et d’exportation.
Importer un certificat à partir de Key Vault Utile si vous utilisez Azure Key Vault pour gérer vos certificats PKCS12. Consultez Exigences concernant les certificats privés.
Téléchargement d’un certificat privé Si vous disposez déjà d’un certificat privé provenant d’un fournisseur tiers, vous pouvez le charger. Consultez Exigences concernant les certificats privés.
Téléchargement d’un certificat public Les certificats publics ne sont pas utilisés pour sécuriser les domaines personnalisés, mais vous pouvez les charger dans votre code si vous en avez besoin pour accéder aux ressources distantes.

Prérequis

Exigences concernant les certificats privés

Le certificat managé App Service gratuit et le certificat App Service répondent déjà aux exigences d’App Service. Si vous choisissez de charger ou d’importer un certificat privé dans App Service, votre certificat doit :

  • Être exporté en tant que fichier PFX protégé par mot de passe, chiffré par Triple-DES.
  • Contenir une clé privée d’au moins 2048 bits de long
  • Contient tous les certificats intermédiaires et le certificat racine dans la chaîne de certificats.

Pour sécuriser un domaine personnalisé dans une liaison TLS/SSL, votre certificat doit répondre à des exigences supplémentaires :

Notes

Les certificats de chiffrement à courbe elliptique (ECC) sont compatibles avec App Service, mais ce sujet sort du cadre de cet article. Consultez votre autorité de certification sur les étapes à suivre pour créer des certificats ECC.

Préparation de votre application web

Si vous souhaitez créer des liaisons TLS/SSL personnalisées ou activer des certificats clients pour votre application App Service, votre plan App Service doit être au niveau De base, Standard, Premium ou Isolé. Au cours de cette étape, vous allez vous assurer que votre application web se trouve dans le niveau de tarification pris en charge.

Connexion à Azure

Ouvrez le portail Azure.

Recherchez et sélectionnez App Services.

Select App Services

Dans la page App Services, sélectionnez le nom de votre application web.

Screenshot of the App Services page in Azure portal showing a list of all running web apps, with the first app in the list highlighted.

Vous accédez à la page de gestion de votre application web.

Vérification du niveau tarifaire

Dans la navigation de gauche de la page de votre application web, accédez à la section Paramètres et sélectionnez Monter en puissance (plan App Service) .

Scale-up menu

Vérifiez que votre application web ne se trouve pas dans le niveau F1 ou D1. Le niveau actuel de votre application web est encadré d’un rectangle bleu foncé.

Check pricing tier

Le certificat SSL personnalisé n’est pas pris en charge pour les niveaux F1 et D1. Si vous avez besoin de monter en puissance, consultez la section ci-après. Sinon, fermez la page Monter en puissance et ignorez la section Évolution de votre plan App Service.

Évolution de votre plan App Service

Sélectionnez un niveau payant (B1, B2, B3, ou n’importe quel niveau dans la catégorie Production). Pour obtenir des options supplémentaires, cliquez sur Afficher d’autres options.

Cliquez sur Appliquer.

Choose pricing tier

Lorsque la notification suivante s’affiche, cela signifie que l’opération est terminée.

Scale up notification

Créer un certificat managé gratuit

Notes

Avant de créer un certificat managé gratuit, assurez-vous que vous avez rempli les conditions préalables pour votre application.

Le certificat managé App Service gratuit est une solution clé en main pour la sécurisation de votre nom DNS personnalisé dans App Service. Il s’agit d’un certificat de serveur TLS/SSL entièrement géré par App Service et renouvelé en continu et automatiquement par incréments de six mois, 45 jours avant l’expiration. Vous créez le certificat, vous le liez à un domaine personnalisé et vous laissez App Service faire le reste.

Le certificat gratuit comprend les limitations suivantes :

  • Ne prend pas en charge les certificats avec caractères génériques.
  • Ne prend pas en charge l’utilisation en tant que certificat client par empreinte numérique de certificat (la suppression de l’empreinte numérique de certificat est planifiée).
  • Il n’est pas exportable.
  • N’est pas pris en charge sur App Service et pas accessible à tous.
  • N’est pas pris en charge sur App Service Environment (ASE).
  • N’est pas pris en charge avec les domaines racine intégrés à Traffic Manager.
  • Si un certificat est destiné à un domaine avec mappage CNAM, le CNAM doit être mappé directement à <app-name>.azurewebsites.net.

Notes

Le certificat gratuit est émis par DigiCert. Pour certains domaines, vous devez autoriser explicitement DigiCert comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur : .

Sur le portail Azure, dans le menu de gauche, sélectionnez App Servicesnom-application.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSLCertificats à clé privée (.pfx)Créer un certificat managé App Service.

Create free certificate in App Service

Sélectionnez le domaine personnalisé pour lequel créer un certificat gratuit, puis sélectionnez Créer. Vous ne pouvez créer qu’un seul certificat pour chaque domaine personnalisé pris en charge.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.

Create free certificate finished

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat. Suivez les étapes fournies dans Créer une liaison.

Importer un certificat App Service

Si vous achetez un certificat App Service dans Azure, Azure se charge des tâches suivantes :

  • Prise en charge du processus d’achat sur GoDaddy
  • Vérification du domaine du certificat
  • Gestion du certificat dans Azure Key Vault
  • Gestion du renouvellement des certificats (voir Renouveler le certificat)
  • Synchronisation automatique des certificats avec les copies importées dans les applications App Service

Pour acheter un certificat App Service, consultez Commander un certificat.

Si vous disposez déjà d’un certificat App Service, vous pouvez :

Notes

Les certificats App Service ne sont pas pris en charge dans les clouds nationaux Azure à l’heure actuelle.

Commander un certificat

Commandez un certificat App Service dans la page de création App Service Certificate.

Start App Service certificate purchase

Aidez-vous du tableau suivant pour configurer le certificat. Lorsque vous avez terminé, cliquez sur Créer.

Paramètre Description
Nom Nom convivial de votre certificat App Service.
Nom d’hôte de domaine nu Spécifiez ici le domaine racine. Le certificat émis sécurise à la fois le domaine racine et le sous-domaine . Dans le certificat émis, le champ Nom commun contient le domaine racine et le champ Autre nom de l’objet contient le domaine www. Pour sécuriser un sous-domaine uniquement, indiquez ici son nom de domaine complet (par exemple, mysubdomain.contoso.com).
Abonnement Abonnement qui contient le certificat.
Resource group Groupe de ressources qui doit contenir le certificat. Vous pouvez utiliser un nouveau groupe de ressources, ou sélectionner le même groupe de ressources que votre application App Service, par exemple.
Référence (SKU) de certificat Détermine le type de certificat à créer (certificat standard ou certificat générique).
Termes et conditions Cliquez pour confirmer que vous acceptez les termes et conditions. Les certificats sont obtenus auprès de GoDaddy.

Notes

Les certificats App Service achetés auprès d’Azure sont émis par GoDaddy. Pour certains domaines, vous devez autoriser explicitement GoDaddy comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur :

Stocker dans Azure Key Vault

Après l’achat du certificat, il vous reste quelques étapes à effectuer avant de commencer à utiliser ce certificat.

Sélectionnez le certificat dans la page App Service Certificates, puis cliquez sur Configuration du certificatÉtape 1 : Stocker.

Configure Key Vault storage of App Service certificate

Key Vault est un service Azure qui permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. C’est le stockage recommandé pour les certificats App Service.

Dans la page État de Key Vault, cliquez sur Référentiel Key Vault pour créer un coffre ou choisir un coffre existant. Si vous créez un coffre, configurez le nouveau coffre en vous aidant du tableau ci-dessous, puis cliquez sur Créer. Créez le coffre de clés dans le même abonnement et groupe de ressources que votre application App Service.

Paramètre Description
Nom Nom unique composé de caractères alphanumériques et de tirets.
Resource group Nous vous conseillons de choisir le même groupe de ressources que votre certificat App Service.
Emplacement Choisissez le même emplacement que votre application App Service.
Niveau tarifaire Pour obtenir des informations sur les tarifs, consultez Tarification d’Azure Key Vault.
Stratégies d’accès Définit les applications et l’accès autorisé aux ressources du coffre. Vous pouvez configurer ce paramètre ultérieurement, en suivant les étapes décrites dans Attribuer une stratégie d’accès Key Vault.
Accès au réseau virtuel Limitez l’accès au coffre à certains réseaux virtuels Azure. Vous pouvez configurer ce paramètre ultérieurement, en suivant les étapes décrites dans Configurer les pare-feux et réseaux virtuels d’Azure Key Vault

Une fois que vous avez sélectionné le coffre, fermez la page Référentiel Key Vault. L’option Étape 1 : Stocker doit afficher une coche verte de réussite. Gardez cette page ouverte pour l’étape suivante.

Notes

Actuellement, App Service Certificate prend en charge uniquement la stratégie d’accès Key Vault, mais pas le modèle RBAC.

Vérifier la propriété du domaine

Dans la même page Configuration du certificat utilisée à l’étape précédente, cliquez sur Étape 2 : Vérifier.

Verify domain for App Service certificate

Sélectionnez Vérification App Service. Étant donné que vous avez déjà mappé le domaine à votre application web (voir la section Prérequis), le domaine a déjà été vérifié. Cliquez simplement sur Vérifier pour terminer cette étape. Cliquez sur le bouton Actualiser jusqu’à ce que le message Le domaine du certificat a été vérifié s’affiche.

Important

Pour un certificat Standard, le fournisseur de certificats vous donne un certificat pour le domaine de niveau supérieur demandé et son sous- domaine (par exemple, et www.contoso.com). Toutefois, à compter du 1er décembre 2021, une restriction est introduite sur les méthodes de vérification App Service et Manuelle. Les deux utilisent la vérification de page HTML pour vérifier la propriété du domaine. Avec cette méthode, le fournisseur de certificats n’est plus autorisé à inclure le sous-domaine www lors de l’émission, de la régénération de clé ou du renouvellement d’un certificat.

Les méthodes de vérification Domaine et E-mail continuent à inclure le sous-domaine avec le domaine de niveau supérieur demandé dans le certificat.

Notes

Quatre types de méthodes de vérification du domaine sont pris en charge :

  • App Service : option la plus pratique quand le domaine a déjà été mappé à une application App Service dans le même abonnement. Elle profite du fait que l’application App Service a déjà vérifié la propriété du domaine (voir la remarque précédente).
  • Domaine : permet de vérifier un domaine App Service que vous avez acheté sur Azure. Azure ajoute automatiquement l’enregistrement TXT de vérification pour vous et effectue le processus.
  • E-mail : permet de vérifier le domaine en envoyant un e-mail à l’administrateur de domaine. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent.
  • Manuelle : permet de vérifier le domaine à l’aide d’une page HTML (certificat Standard uniquement, voir la remarque précédente) ou d’un enregistrement TXT DNS. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent. L’option de page HTML ne fonctionne pas avec les applications web pour lesquelles « HTTPS uniquement » est activé.

Importer le certificat dans App Service

Sur le portail Azure, dans le menu de gauche, sélectionnez App Servicesnom-application.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSLCertificats à clé privée (.pfx)Importer un certificat App Service.

Import App Service certificate in App Service

Sélectionnez le certificat que vous venez d’acheter, puis sélectionnez OK.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.

Import App Service certificate finished

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat. Suivez les étapes fournies dans Créer une liaison.

Importer un certificat à partir de Key Vault

Si vous utilisez Azure Key Vault pour gérer vos certificats, vous pouvez importer un certificat PKCS12 à partir de Key Vault dans App Service tant qu’il répond aux exigences.

Autoriser App Service à lire les données du coffre

Par défaut, le fournisseur de ressources App Service n’a pas accès au coffre de clés. Si vous souhaitez utiliser un coffre de clés pour un déploiement de certificats, vous devez autoriser le fournisseur de ressources à accéder en lecture aux données du coffre de clés.

abfa0a7c-a6b6-4736-8310-5855508787cd est le nom du principal de service du fournisseur de ressources App Service, et il est identique pour tous les abonnements Azure. Pour un environnement cloud Azure Government, utilisez 6a02c803-dafd-4136-b4c3-5a6f318b4714 plutôt que le nom du principal de service du fournisseur de ressources.

Notes

Actuellement, Key Vault Certificate prend uniquement en charge la stratégie d’accès Key Vault, mais pas le modèle RBAC.

Importer un certificat dans votre application à partir de votre coffre

Sur le portail Azure, dans le menu de gauche, sélectionnez App Servicesnom-application.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSLCertificats à clé privée (.pfx)Importer un certificat Key Vault.

Import Key Vault certificate in App Service

Aidez-vous du tableau suivant pour sélectionner le certificat.

Paramètre Description
Abonnement Abonnement auquel appartient le coffre de clés.
Key Vault Coffre contenant le certificat que vous souhaitez importer.
Certificat Dans le coffre, sélectionnez un certificat PKCS12 dans la liste. Tous les certificats PKCS12 du coffre sont listés avec leurs empreintes numériques, mais tous ne sont pas pris en charge dans App Service.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée. Si l’importation échoue avec une erreur, c’est que le certificat ne répond pas aux exigences App Service.

Import Key Vault certificate finished

Notes

Si vous remplacez votre certificat par un nouveau certificat dans le coffre de clés, App Service synchronise automatiquement votre certificat sous 24 heures.

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat. Suivez les étapes fournies dans Créer une liaison.

Téléchargement d’un certificat privé

Une fois que vous avez obtenu un certificat de votre fournisseur de certificats, effectuez les étapes décrites dans cette section afin de préparer le certificat pour App Service.

Fusionner les certificats intermédiaires

Si votre autorité de certification vous donne plusieurs certificats dans la chaîne, vous devez les fusionner dans l’ordre.

Pour ce faire, ouvrez chaque certificat reçu dans un éditeur de texte.

Créez un fichier pour le certificat fusionné, appelé mergedcertificate.crt. Dans un éditeur de texte, copiez le contenu de chaque certificat dans ce fichier. L’ordre de vos certificats devrait suivre l’ordre dans la chaîne d’approbation, commençant par votre certificat et finissant par le certificat racine. Cela ressemble à l’exemple suivant :

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportation du certificat vers PFX

Exportez votre certificat TLS/SSL fusionné avec la clé privée ayant servi à générer votre demande de certificat.

Si vous avez généré votre demande de certificat à l’aide d’OpenSSL, vous avez créé un fichier de clé privée. Pour exporter votre certificat au format PFX, exécutez la commande suivante : Remplacez les espaces réservés fichier de clé privée> et > par les chemins d’accès menant à votre clé privée et à votre fichier de certificat fusionné.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Lorsque vous y êtes invité, définissez un mot de passe d’exportation. Vous allez utiliser ce mot de passe lors du chargement de votre certificat TLS/SSL dans App Service.

Si vous avez utilisé IIS ou Certreq.exe pour générer votre demande de certificat, installez le certificat sur votre ordinateur local, puis exportez le certificat au format PFX.

Charger le certificat dans App Service

Vous êtes maintenant prêt à charger le certificat dans App Service.

Sur le portail Azure, dans le menu de gauche, sélectionnez App Servicesnom-application.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSLCertificats à clé privée (.pfx)Charger le certificat.

Upload private certificate in App Service

Dans Fichier de certificat PFX, sélectionnez votre fichier PFX. Dans Mot de passe du certificat, tapez le mot de passe que vous avez créé lors de l’exportation du fichier PFX. Lorsque vous avez terminé, cliquez sur Charger.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.

Upload certificate finished

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat. Suivez les étapes fournies dans Créer une liaison.

Téléchargement d’un certificat public

Les certificats publics sont pris en charge au format .cer.

Sur le portail Azure, dans le menu de gauche, sélectionnez App Servicesnom-application.

Dans le panneau de navigation de gauche de votre application, cliquez sur Paramètres TLS/SSLCertificats publics (.cer)Charger un certificat à clé publique.

Dans Nom, tapez un nom pour le certificat. Dans Fichier de certificat CER, sélectionnez votre fichier CER.

Cliquez sur Télécharger.

Upload public certificate in App Service

Une fois le certificat chargé, copiez l’empreinte du certificat, puis reportez-vous à la section Rendre le certificat accessible.

Renouveler un certificat sur le point d’expirer

Avant l’expiration d’un certificat, vous devez ajouter le certificat renouvelé dans App Service et mettre à jour toute liaison TLS/SSL. Le processus dépend du type de certificat. Par exemple, un certificat importé à partir de Key Vault, y compris un certificat App Service, se synchronise automatiquement avec App Service toutes les 24 heures et met à jour la liaison TLS/SSL lorsque vous renouvelez le certificat. Pour un certificat chargé, il n’existe aucune mise à jour de liaison automatique. Consultez l’une des sections suivantes en fonction de votre scénario :

Renouveler un certificat chargé

Pour remplacer un certificat arrivant à expiration, la façon dont vous mettez à jour la liaison de certificat avec le nouveau certificat peut nuire à l’expérience utilisateur. Par exemple, votre adresse IP entrante peut être modifiée lorsque vous supprimez une liaison, même si cette liaison repose sur une adresse IP. Cela est particulièrement important lorsque vous renouvelez un certificat qui se trouve déjà dans une liaison reposant sur une adresse IP. Pour éviter une modification de l’adresse IP de votre application, et éviter les temps d’arrêt de votre application en raison d’erreurs HTTPS, suivez ces étapes dans l’ordre :

  1. Chargez le nouveau certificat.
  2. Liez le nouveau certificat au même domaine personnalisé sans supprimer le certificat existant (arrivant à expiration). Cette action remplace la liaison plutôt que de supprimer la liaison du certificat existant.
  3. Supprimez le certificat existant.

Renouveler un certificat App Service

Notes

À compter du 23 septembre 2021, les certificats App Service nécessitent une vérification de domaine tous les 395 jours.

Contrairement au certificat managé App Service, la revérification de domaine pour App Service Certificate n’est pas automatisée. Consultez Vérifier la propriété du domaine pour plus d’informations sur la vérification de votre certificat App Service.

Notes

Le processus de renouvellement exige que le principal de service connu pour App Service dispose des autorisations requises sur votre coffre de clés. Cette autorisation est configurée pour vous lorsque vous importez un App Service Certificate via le portail et ne doit pas être supprimée de votre coffre de clés.

Pour activer/désactiver à tout moment le paramètre de renouvellement automatique de votre certificat App Service, sélectionnez le certificat dans la page Certificats App Service, puis cliquez sur Paramètres de renouvellement automatique dans le volet de navigation de gauche. Par défaut, les certificats App Service sont valides pendant 1 an.

Sélectionnez Activé ou Désactivé et cliquez surEnregistrer. Les certificats peuvent être automatiquement renouvelés 31 jours avant leur expiration si vous avez activé le renouvellement automatique.

Renew App Service certificate automatically

Pour renouveler manuellement le certificat, cliquez sur Renouvellement manuel. Vous pouvez demander le renouvellement manuellement de votre certificat 60 jours avant expiration.

Une fois l’opération de renouvellement terminée, cliquez sur Synchronisation. L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

Notes

Si vous ne cliquez pas sur Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Renouveler un certificat importé d’Azure Key Vault

Pour renouveler un certificat que vous avez importé dans App Service à partir de Key Vault, consultez Renouveler votre certificat Azure Key Vault.

Une fois le certificat renouvelé dans votre coffre de clés, App Service synchronise automatiquement le nouveau certificat et met à jour toute liaison TLS/SSL applicable dans les 24 heures. Pour effectuer une synchronisation manuelle :

  1. Accédez à la page des Paramètres TLS/SSL de votre application.
  2. Sélectionnez le certificat importé sous Certificats de clé privée.
  3. Cliquez sur Synchroniser.

Gérer les certificats App Service

Cette section vous montre comment gérer le certificat App Service que vous avez acheté.

Consultez également Renouveler un certificat App Service

Recréer la clé du certificat

Si vous pensez que la clé privée de votre certificat est compromise, vous pouvez recréer la clé de votre certificat. Sélectionnez le certificat dans la page App Service Certificates, puis sélectionnez Recréer la clé et synchroniser dans le volet de navigation de gauche.

Cliquez sur le bouton Recréer la clé pour lancer le processus. Ce processus peut prendre de 1 à 10 minutes.

Rekey an App Service certificate

Le renouvellement de la clé de votre certificat remplace le certificat par un nouveau certificat émis par l’autorité de certification.

Vous pouvez être amené à revérifier la propriété du domaine.

Une fois l’opération de recréation de clé terminée, cliquez sur Synchronisation. L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.

Notes

Si vous ne cliquez pas sur Synchronisation, App Service synchronise automatiquement votre certificat sous 24 heures.

Exportation du certificat

Étant donné qu’un certificat App Service est un secret Key Vault, vous pouvez exporter une copie de ce fichier PFX et l’utiliser pour d’autres services Azure ou en dehors d’Azure.

Pour exporter le certificat App Service dans un fichier PFX, exécutez les commandes suivantes dans Cloud Shell. Vous pouvez également l’exécuter localement si vous avez installé Azure CLI. Remplacez les espaces réservés par les noms que vous avez utilisés lorsque vous avez créé le certificat App Service.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Le fichier appservicecertificate.pfx téléchargé est un fichier PKCS12 brut qui contient à la fois des certificats publics et des certificats privés. Dans chaque invite, utilisez une chaîne vide pour le mot de passe d’importation et la phrase secrète PEM.

Suppression d'un certificat

La suppression d’un certificat App Service est définitive et irréversible. La suppression d’une ressource App Service Certificate entraîne la révocation du certificat. Dans App Service, les liaisons vers ce certificat deviennent alors non valides. Pour éviter toute suppression accidentelle, Azure place un verrou sur le certificat. Pour supprimer un certificat App Service, vous devez d’abord supprimer son verrou de suppression.

Sélectionnez le certificat dans la page App Service Certificates, puis sélectionnez Verrous dans le volet de navigation de gauche.

Dans votre certificat, recherchez le verrou de type Supprimer. À droite de celui-ci, sélectionnez Supprimer.

Delete lock for App Service certificate

Vous pouvez maintenant supprimer le certificat App Service. Dans le volet de navigation de gauche, sélectionnez Vue d’ensembleSupprimer. Dans la boîte de dialogue de confirmation, tapez le nom du certificat, puis sélectionnez OK.

Automatiser des tâches à l’aide de scripts

Azure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Plus de ressources