Ajouter un certificat TLS/SSL dans Azure App ServiceAdd a TLS/SSL certificate in Azure App Service

Azure App Service offre un service d’hébergement web hautement évolutif appliquant des mises à jour correctives automatiques.Azure App Service provides a highly scalable, self-patching web hosting service. Cet article explique comment créer, charger ou importer un certificat privé ou public dans App Service.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Une fois le certificat ajouté à votre application App Service ou à votre application de fonction, vous pouvez sécuriser un nom DNS personnalisé avec celui-ci ou l’utiliser dans votre code d’application.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

Le tableau suivant répertorie les options permettant d’ajouter des certificats dans App Service :The following table lists the options you have for adding certificates in App Service:

OptionOption DescriptionDescription
Créer un certificat managé App Service gratuit (préversion)Create a free App Service Managed Certificate (Preview) Certificat privé facile à utiliser si vous devez simplement sécuriser votre www domaine personnalisé ou tout autre domaine non nu dans App Service.A private certificate that's easy to use if you just need to secure your www custom domain or any non-naked domain in App Service.
Acheter un certificat App ServicePurchase an App Service certificate Certificat privé managé par Azure.A private certificate that's managed by Azure. Il combine la simplicité d’une gestion automatisée et la flexibilité des options de renouvellement et d’exportation.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importer un certificat à partir de Key VaultImport a certificate from Key Vault Utile si vous utilisez Azure Key Vault pour gérer vos certificats PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Consultez Exigences concernant les certificats privés.See Private certificate requirements.
Téléchargement d’un certificat privéUpload a private certificate Si vous disposez déjà d’un certificat privé provenant d’un fournisseur tiers, vous pouvez le charger.If you already have a private certificate from a third-party provider, you can upload it. Consultez Exigences concernant les certificats privés.See Private certificate requirements.
Téléchargement d’un certificat publicUpload a public certificate Les certificats publics ne sont pas utilisés pour sécuriser les domaines personnalisés, mais vous pouvez les charger dans votre code si vous en avez besoin pour accéder aux ressources distantes.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

PrérequisPrerequisites

Pour effectuer les étapes de ce guide pratique, vous devez au préalable :To follow this how-to guide:

Exigences concernant les certificats privésPrivate certificate requirements

Notes

Azure Web Apps ne prend pas en charge AES256, et tous les fichiers pfx doivent être chiffrés avec TripleDES.Azure Web Apps does not support AES256 and all pfx files should be encrypted with TripleDES.

Le certificat managé App Service gratuit et le certificat App Service répondent déjà aux exigences App Service.The free App Service Managed Certificate or the App Service certificate already satisfy the requirements of App Service. Si vous choisissez de charger ou d’importer un certificat privé dans App Service, votre certificat doit :If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Avoir été exporté sous la forme d’un fichier PFX protégé par mot de passeExported as a password-protected PFX file
  • Contenir une clé privée d’au moins 2048 bits de longContains private key at least 2048 bits long
  • Contenir tous les certificats intermédiaires dans la chaîne de certificatsContains all intermediate certificates in the certificate chain

Pour sécuriser un domaine personnalisé dans une liaison TLS/SSL, votre certificat doit répondre à des exigences supplémentaires :To secure a custom domain in a TLS binding, the certificate has additional requirements:

  • Contenir une utilisation améliorée de la clé pour l’authentification du serveur (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Être signé par une autorité de certification approuvéeSigned by a trusted certificate authority

Notes

Les certificats de chiffrement à courbe elliptique (ECC) sont compatibles avec App Service, mais ce sujet sort du cadre de cet article.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Consultez votre autorité de certification sur les étapes à suivre pour créer des certificats ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Préparation de votre application webPrepare your web app

Si vous souhaitez créer des liaisons de sécurité personnalisées ou activer des certificats clients pour votre application App Service, votre plan App Service doit être au niveau De base, Standard, Premium ou Isolé.To create custom security bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. Au cours de cette étape, vous allez vous assurer que votre application web se trouve dans le niveau de tarification pris en charge.In this step, you make sure that your web app is in the supported pricing tier.

Connexion à AzureSign in to Azure

Ouvrez le portail Azure.Open the Azure portal.

Recherchez et sélectionnez App Services.Search for and select App Services.

Sélectionner App Services

Dans la page App Services, sélectionnez le nom de votre application web.On the App Services page, select the name of your web app.

Navigation au sein du portail pour accéder à l’application Azure

Vous accédez à la page de gestion de votre application web.You have landed on the management page of your web app.

Vérification du niveau tarifaireCheck the pricing tier

Dans la navigation de gauche de la page de votre application web, accédez à la section Paramètres et sélectionnez Monter en puissance (plan App Service) .In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu Monter en puissance

Vérifiez que votre application web ne se trouve pas dans le niveau F1 ou D1.Check to make sure that your web app is not in the F1 or D1 tier. Le niveau actuel de votre application web est encadré d’un rectangle bleu foncé.Your web app's current tier is highlighted by a dark blue box.

Vérification du niveau de tarification

Le certificat SSL personnalisé n’est pas pris en charge pour les niveaux F1 et D1.Custom SSL is not supported in the F1 or D1 tier. Si vous avez besoin de monter en puissance, consultez la section ci-après.If you need to scale up, follow the steps in the next section. Sinon, fermez la page Monter en puissance et ignorez la section Évolution de votre plan App Service.Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Évolution de votre plan App ServiceScale up your App Service plan

Sélectionnez un niveau payant (B1, B2, B3, ou n’importe quel niveau dans la catégorie Production).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Pour obtenir des options supplémentaires, cliquez sur Afficher d’autres options.For additional options, click See additional options.

Cliquez sur Appliquer.Click Apply.

Sélection du niveau tarifaire

Lorsque la notification suivante s’affiche, cela signifie que l’opération est terminée.When you see the following notification, the scale operation is complete.

Notification de montée en puissance

Créer un certificat gratuit (préversion)Create a free certificate (Preview)

Le certificat managé App Service gratuit est une solution clé en main pour la sécurisation de votre nom DNS personnalisé dans App Service.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. Il s’agit d’un certificat TLS/SSL entièrement fonctionnel géré par App Service et renouvelé automatiquement.It's a fully functional TLS/SSL certificate that's managed by App Service and renewed automatically. Le certificat gratuit comprend les limitations suivantes :The free certificate comes with the following limitations:

  • Ne prend pas en charge les certificats avec caractères génériques.Does not support wildcard certificates.
  • Il ne prend pas en charge les domaines nus.Does not support naked domains.
  • Il n’est pas exportable.Is not exportable.
  • Ne prend pas en charge les enregistrements A.Does not support A records. Par exemple, le renouvellement automatique ne fonctionne pas avec les enregistrements A.For example, automatic renewal doesn't work with A records.

Notes

Le certificat gratuit est émis par DigiCert.The free certificate is issued by DigiCert. Pour certains domaines de niveau supérieur, vous devez autoriser explicitement DigiCert comme émetteur de certificat en créant un enregistrement de domaine CAA avec la valeur : 0 issue digicert.com.For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

Pour créer un certificat managé App Service gratuit :To create a free App Service Managed Certificate:

Sur le portail Azure, dans le menu de gauche, sélectionnez App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSL > Certificats à clé privée (.pfx) > Créer un certificat managé App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Créer un certificat gratuit dans App Service

Tous les domaines non nus correctement mappés à votre application avec un enregistrement CNAME sont listés dans la boîte de dialogue.Any non-naked domain that's properly mapped to your app with a CNAME record is listed in the dialog. Sélectionnez le domaine personnalisé pour lequel créer un certificat gratuit, puis sélectionnez Créer.Select the custom domain to create a free certificate for and select Create. Vous ne pouvez créer qu’un seul certificat pour chaque domaine personnalisé pris en charge.You can create only one certificate for each supported custom domain.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.When the operation completes, you see the certificate in the Private Key Certificates list.

Création du certificat gratuit terminée

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat.To secure a custom domain with this certificate, you still need to create a certificate binding. Suivez les étapes fournies dans Créer une liaison.Follow the steps in Create binding.

Importer un certificat App ServiceImport an App Service Certificate

Si vous achetez un certificat App Service dans Azure, Azure se charge des tâches suivantes :If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Prise en charge du processus d’achat sur GoDaddyTakes care of the purchase process from GoDaddy.
  • Vérification du domaine du certificatPerforms domain verification of the certificate.
  • Gestion du certificat dans Azure Key VaultMaintains the certificate in Azure Key Vault.
  • Gestion du renouvellement des certificats (voir Renouveler le certificat)Manages certificate renewal (see Renew certificate).
  • Synchronisation automatique des certificats avec les copies importées dans les applications App ServiceSynchronize the certificate automatically with the imported copies in App Service apps.

Pour acheter un certificat App Service, consultez Commander un certificat.To purchase an App Service certificate, go to Start certificate order.

Si vous disposez déjà d’un certificat App Service, vous pouvez :If you already have a working App Service certificate, you can:

Commander un certificatStart certificate order

Commandez un certificat App Service dans la page de création App Service Certificate.Start an App Service certificate order in the App Service Certificate create page.

Démarrer l’achat d’un certificat App Service

Aidez-vous du tableau suivant pour configurer le certificat.Use the following table to help you configure the certificate. Lorsque vous avez terminé, cliquez sur Créer.When finished, click Create.

ParamètreSetting DescriptionDescription
NomName Nom convivial de votre certificat App Service.A friendly name for your App Service certificate.
Nom d’hôte de domaine nuNaked Domain Host Name Spécifiez ici le domaine racine.Specify the root domain here. Le certificat émis sécurise à la fois le domaine racine et le sous-domaine www.The issued certificate secures both the root domain and the www subdomain. Dans le certificat émis, le champ Nom commun contient le domaine racine et le champ Autre nom de l’objet contient le domaine www.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Pour sécuriser un sous-domaine uniquement, indiquez ici son nom de domaine complet (par exemple, mysubdomain.contoso.com).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
AbonnementSubscription Abonnement qui contient le certificat.The subscription that will contain the certificate.
Resource groupResource group Groupe de ressources qui doit contenir le certificat.The resource group that will contain the certificate. Vous pouvez utiliser un nouveau groupe de ressources, ou sélectionner le même groupe de ressources que votre application App Service, par exemple.You can use a new resource group or select the same resource group as your App Service app, for example.
Référence (SKU) de certificatCertificate SKU Détermine le type de certificat à créer (certificat standard ou certificat générique).Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Termes et conditionsLegal Terms Cliquez pour confirmer que vous acceptez les termes et conditions.Click to confirm that you agree with the legal terms. Les certificats sont obtenus auprès de GoDaddy.The certificates are obtained from GoDaddy.

Stocker dans Azure Key VaultStore in Azure Key Vault

Après l’achat du certificat, il vous reste quelques étapes à effectuer avant de commencer à utiliser ce certificat.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Sélectionnez le certificat dans la page App Service Certificates, puis cliquez sur Configuration du certificat > Étape 1 : Stocker.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Configurer le stockage Key Vault du certificat App Service

Key Vault est un service Azure qui permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. C’est le stockage recommandé pour les certificats App Service.It's the storage of choice for App Service certificates.

Dans la page État de Key Vault, cliquez sur Référentiel Key Vault pour créer un coffre ou choisir un coffre existant.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Si vous créez un coffre, configurez le nouveau coffre en vous aidant du tableau ci-dessous, puis cliquez sur Créer.If you choose to create a new vault, use the following table to help you configure the vault and click Create. Créez le coffre de clés dans le même abonnement et groupe de ressources que votre application App Service.Create the new Key Vault inside the same subscription and resource group as your App Service app.

ParamètreSetting DescriptionDescription
NomName Nom unique composé de caractères alphanumériques et de tirets.A unique name that consists for alphanumeric characters and dashes.
Resource groupResource group Nous vous conseillons de choisir le même groupe de ressources que votre certificat App Service.As a recommendation, select the same resource group as your App Service certificate.
EmplacementLocation Choisissez le même emplacement que votre application App Service.Select the same location as your App Service app.
Niveau tarifairePricing tier Pour obtenir des informations sur les tarifs, consultez Tarification d’Azure Key Vault.For information, see Azure Key Vault pricing details.
Stratégies d’accèsAccess policies Définit les applications et l’accès autorisé aux ressources du coffre.Defines the applications and the allowed access to the vault resources. Vous pouvez configurer ce paramètre ultérieurement, en suivant les étapes décrites dans Accorder à plusieurs applications l’autorisation d’accéder à un coffre de clés.You can configure it later, following the steps at Grant several applications access to a key vault.
Accès au réseau virtuelVirtual Network Access Limitez l’accès au coffre à certains réseaux virtuels Azure.Restrict vault access to certain Azure virtual networks. Vous pouvez configurer ce paramètre ultérieurement, en suivant les étapes décrites dans Configurer les pare-feux et réseaux virtuels d’Azure Key VaultYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Une fois que vous avez sélectionné le coffre, fermez la page Référentiel Key Vault.Once you've selected the vault, close the Key Vault Repository page. L’option Étape 1 : Stocker doit afficher une coche verte de réussite.The Step 1: Store option should show a green check mark for success. Gardez cette page ouverte pour l’étape suivante.Keep the page open for the next step.

Vérifier la propriété du domaineVerify domain ownership

Dans la même page Configuration du certificat utilisée à l’étape précédente, cliquez sur Étape 2 : Vérifier.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Vérifier le domaine du certificat App Service

Sélectionnez Vérification App Service.Select App Service Verification. Étant donné que vous avez déjà mappé le domaine à votre application web (voir la section Prérequis), le domaine a déjà été vérifié.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Cliquez simplement sur Vérifier pour terminer cette étape.Just click Verify to finish this step. Cliquez sur le bouton Actualiser jusqu’à ce que le message Le domaine du certificat a été vérifié s’affiche.Click the Refresh button until the message Certificate is Domain Verified appears.

Notes

Quatre types de méthodes de vérification du domaine sont pris en charge :Four types of domain verification methods are supported:

  • App Service : option la plus pratique quand le domaine a déjà été mappé à une application App Service dans le même abonnement.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Elle profite du fait que l’application App Service a déjà vérifié la propriété du domaine.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Domaine : permet de vérifier un domaine App Service que vous avez acheté sur Azure.Domain - Verify an App Service domain that you purchased from Azure. Azure ajoute automatiquement l’enregistrement TXT de vérification pour vous et effectue le processus.Azure automatically adds the verification TXT record for you and completes the process.
  • E-mail : permet de vérifier le domaine en envoyant un e-mail à l’administrateur de domaine.Mail - Verify the domain by sending an email to the domain administrator. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent.Instructions are provided when you select the option.
  • Manuelle : permet de vérifier le domaine à l’aide d’une page HTML (certificat Standard uniquement) ou d’un enregistrement TXT DNS.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. Quand vous sélectionnez cette option, des instructions supplémentaires s’affichent.Instructions are provided when you select the option.

Importer le certificat dans App ServiceImport certificate into App Service

Sur le portail Azure, dans le menu de gauche, sélectionnez App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSL > Certificats à clé privée (.pfx) > Importer un certificat App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importer un certificat App Service dans App Service

Sélectionnez le certificat que vous venez d’acheter, puis sélectionnez OK.Select the certificate that you just purchased and select OK.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.When the operation completes, you see the certificate in the Private Key Certificates list.

Importation du certificat App Service terminée

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat.To secure a custom domain with this certificate, you still need to create a certificate binding. Suivez les étapes fournies dans Créer une liaison.Follow the steps in Create binding.

Importer un certificat à partir de Key VaultImport a certificate from Key Vault

Si vous utilisez Azure Key Vault pour gérer vos certificats, vous pouvez importer un certificat PKCS12 à partir de Key Vault dans App Service tant qu’il répond aux exigences.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

Sur le portail Azure, dans le menu de gauche, sélectionnez App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSL > Certificats à clé privée (.pfx) > Importer un certificat Key Vault.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importer un certificat Key Vault dans App Service

Aidez-vous du tableau suivant pour sélectionner le certificat.Use the following table to help you select the certificate.

ParamètreSetting DescriptionDescription
AbonnementSubscription Abonnement auquel appartient le coffre de clés.The subscription that the Key Vault belongs to.
Key VaultKey Vault Coffre contenant le certificat que vous souhaitez importer.The vault with the certificate you want to import.
CertificatCertificate Dans le coffre, sélectionnez un certificat PKCS12 dans la liste.Select from the list of PKCS12 certificates in the vault. Tous les certificats PKCS12 du coffre sont listés avec leurs empreintes numériques, mais tous ne sont pas pris en charge dans App Service.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.When the operation completes, you see the certificate in the Private Key Certificates list. Si l’importation échoue avec une erreur, c’est que le certificat ne répond pas aux exigences App Service.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Importation du certificat Key Vault terminée

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat.To secure a custom domain with this certificate, you still need to create a certificate binding. Suivez les étapes fournies dans Créer une liaison.Follow the steps in Create binding.

Téléchargement d’un certificat privéUpload a private certificate

Une fois que vous avez obtenu un certificat de votre fournisseur de certificats, effectuez les étapes décrites dans cette section afin de préparer le certificat pour App Service.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Fusionner les certificats intermédiairesMerge intermediate certificates

Si votre autorité de certification vous donne plusieurs certificats dans la chaîne, vous devez les fusionner dans l’ordre.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Pour ce faire, ouvrez chaque certificat reçu dans un éditeur de texte.To do this, open each certificate you received in a text editor.

Créez un fichier pour le certificat fusionné, appelé mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. Dans un éditeur de texte, copiez le contenu de chaque certificat dans ce fichier.In a text editor, copy the content of each certificate into this file. L’ordre de vos certificats devrait suivre l’ordre dans la chaîne d’approbation, commençant par votre certificat et finissant par le certificat racine.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. Cela ressemble à l’exemple suivant :It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportation du certificat vers PFXExport certificate to PFX

Exportez votre certificat TLS/SSL fusionné avec la clé privée ayant servi à générer votre demande de certificat.Export your merged TLS/SSL certificate with the private key that your certificate request was generated with.

Si vous avez généré votre demande de certificat à l’aide d’OpenSSL, vous avez créé un fichier de clé privée.If you generated your certificate request using OpenSSL, then you have created a private key file. Pour exporter votre certificat au format PFX, exécutez la commande suivante :To export your certificate to PFX, run the following command. Remplacez les espaces réservés <fichier de clé privée> et <fichier de certificat fusionné> par les chemins d’accès menant à votre clé privée et à votre fichier de certificat fusionné.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Lorsque vous y êtes invité, définissez un mot de passe d’exportation.When prompted, define an export password. Vous allez utiliser ce mot de passe lors du chargement de votre certificat TLS/SSL dans App Service.You'll use this password when uploading your TLS/SSL certificate to App Service later.

Si vous avez utilisé IIS ou Certreq.exe pour générer votre demande de certificat, installez le certificat sur votre ordinateur local, puis exportez le certificat au format PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Charger le certificat dans App ServiceUpload certificate to App Service

Vous êtes maintenant prêt à charger le certificat dans App Service.You're now ready upload the certificate to App Service.

Sur le portail Azure, dans le menu de gauche, sélectionnez App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

Dans le panneau de navigation de gauche de votre application, sélectionnez Paramètres TLS/SSL > Certificats à clé privée (.pfx) > Charger le certificat.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Charger un certificat privé dans App Service

Dans Fichier de certificat PFX, sélectionnez votre fichier PFX.In PFX Certificate File, select your PFX file. Dans Mot de passe du certificat, tapez le mot de passe que vous avez créé lors de l’exportation du fichier PFX.In Certificate password, type the password that you created when you exported the PFX file. Lorsque vous avez terminé, cliquez sur Charger.When finished, click Upload.

Une fois l’opération terminée, le certificat s’affiche dans la liste Certificats à clé privée.When the operation completes, you see the certificate in the Private Key Certificates list.

Chargement du certificat terminé

Important

Pour sécuriser un domaine personnalisé avec ce certificat, vous devez quand même créer une liaison de certificat.To secure a custom domain with this certificate, you still need to create a certificate binding. Suivez les étapes fournies dans Créer une liaison.Follow the steps in Create binding.

Téléchargement d’un certificat publicUpload a public certificate

Les certificats publics sont pris en charge au format .cer.Public certificates are supported in the .cer format.

Sur le portail Azure, dans le menu de gauche, sélectionnez App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

Dans le panneau de navigation de gauche de votre application, cliquez sur Paramètres TLS/SSL > Certificats publics (.cer) > Charger un certificat à clé publique.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

Dans Nom, tapez un nom pour le certificat.In Name, type a name for the certificate. Dans Fichier de certificat CER, sélectionnez votre fichier CER.In CER Certificate file, select your CER file.

Cliquez sur Télécharger.Click Upload.

Charger un certificat public dans App Service

Une fois le certificat chargé, copiez l’empreinte du certificat, puis reportez-vous à la section Rendre le certificat accessible.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Gérer les certificats App ServiceManage App Service certificates

Cette section vous montre comment gérer le certificat App Service que vous avez acheté dans la section Importer un certificat App Service.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Recréer la clé du certificatRekey certificate

Si vous pensez que la clé privée de votre certificat est compromise, vous pouvez recréer la clé de votre certificat.If you think your certificate's private key is compromised, you can rekey your certificate. Sélectionnez le certificat dans la page App Service Certificates, puis sélectionnez Recréer la clé et synchroniser dans le volet de navigation de gauche.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Cliquez sur le bouton Recréer la clé pour lancer le processus.Click Rekey to start the process. Ce processus peut prendre de 1 à 10 minutes.This process can take 1-10 minutes to complete.

Recréer la clé d’un certificat App Service

Le renouvellement de la clé de votre certificat remplace le certificat par un nouveau certificat émis par l’autorité de certification.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Une fois l’opération de recréation de clé terminée, cliquez sur Synchronisation. L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Notes

Si vous ne cliquez pas sur Synchronisation, App Service synchronise automatiquement votre certificat sous 48 heures.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Renouvellement de certificatRenew certificate

Pour activer le renouvellement automatique de votre certificat à tout moment, sélectionnez le certificat dans la page App Service Certificates, puis cliquez sur Paramètres de renouvellement automatique dans le volet de navigation de gauche.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Par défaut, les certificats App Service sont valides pendant 1 an.By default, App Service Certificates have a one-year validity period.

Sélectionnez Activé et cliquez sur Enregistrer.Select On and click Save. Les certificats peuvent être automatiquement renouvelés 60 jours avant leur expiration si vous avez activé le renouvellement automatique.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Renouveler automatiquement un certificat App Service

Pour renouveler manuellement le certificat, cliquez sur Renouvellement manuel.To manually renew the certificate instead, click Manual Renew. Vous pouvez demander le renouvellement manuellement de votre certificat 60 jours avant expiration.You can request to manually renew your certificate 60 days before expiration.

Une fois l’opération de renouvellement terminée, cliquez sur Synchronisation. L’opération de synchronisation met à jour automatiquement les liaisons de nom d’hôte pour le certificat dans App Service sans perturber le fonctionnement de vos applications.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Notes

Si vous ne cliquez pas sur Synchronisation, App Service synchronise automatiquement votre certificat sous 48 heures.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Exportation du certificatExport certificate

Étant donné qu’un certificat App Service est un secret Key Vault, vous pouvez exporter une copie de ce fichier PFX et l’utiliser pour d’autres services Azure ou en dehors d’Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Pour exporter le certificat App Service dans un fichier PFX, exécutez les commandes suivantes dans Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. Vous pouvez également l’exécuter localement si vous avez installé Azure CLI.You can also run it locally if you installed Azure CLI. Remplacez les espaces réservés par les noms que vous avez utilisés lorsque vous avez créé le certificat App Service.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Le fichier appservicecertificate.pfx téléchargé est un fichier PKCS12 brut qui contient à la fois des certificats publics et des certificats privés.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. Dans chaque invite, utilisez une chaîne vide pour le mot de passe d’importation et la phrase secrète PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Suppression d'un certificatDelete certificate

La suppression d’un certificat App Service est définitive et irréversible.Deletion of an App Service certificate is final and irreversible. La suppression d’une ressource App Service Certificate entraîne la révocation du certificat.Deletion of a App Service Certificate resource results in the certificate being revoked. Dans App Service, les liaisons vers ce certificat deviennent alors non valides.Any binding in App Service with this certificate becomes invalid. Pour éviter toute suppression accidentelle, Azure place un verrou sur le certificat.To prevent accidental deletion, Azure puts a lock on the certificate. Pour supprimer un certificat App Service, vous devez d’abord supprimer son verrou de suppression.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Sélectionnez le certificat dans la page App Service Certificates, puis sélectionnez Verrous dans le volet de navigation de gauche.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Dans votre certificat, recherchez le verrou de type Supprimer.Find the lock on your certificate with the lock type Delete. À droite de celui-ci, sélectionnez Supprimer.To the right of it, select Delete.

Verrou de suppression du certificat App Service

Vous pouvez maintenant supprimer le certificat App Service.Now you can delete the App Service certificate. Dans le volet de navigation de gauche, sélectionnez Vue d’ensemble > Supprimer.From the left navigation, select Overview > Delete. Dans la boîte de dialogue de confirmation, tapez le nom du certificat, puis sélectionnez OK.In the confirmation dialog, type the certificate name and select OK.

Automatiser des tâches à l’aide de scriptsAutomate with scripts

Azure CLIAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Plus de ressourcesMore resources