Membuat dan mengelola sertifikat App Service untuk aplikasi web Anda

  • Artikel

Artikel ini memperlihatkan cara membuat sertifikat App Service dan mengelolanya (seperti memperbarui, menyinkronkan, dan menghapus). Setelah memiliki sertifikat App Service, Anda kemudian dapat mengimpornya ke aplikasi App Service. Sertifikat App Service adalah sertifikat privat yang dikelola oleh Azure. Sertifikat ini menggabungkan kemudahan manajemen sertifikat otomatis dan fleksibilitas opsi perpanjangan dan ekspor.

Jika Anda membeli sertifikat App Service dari Azure, Azure akan mengelola tugas berikut:

  • Menangani proses pembelian dari GoDaddy.
  • Melakukan verifikasi domain sertifikat.
  • Memelihara sertifikat di Azure Key Vault.
  • Mengelola perpanjangan sertifikat.
  • Sinkronkan sertifikat secara otomatis dengan salinan yang diimpor di aplikasi App Service.

Catatan

Setelah Anda mengunggah sertifikat ke aplikasi, sertifikat itu akan disimpan dalam unit penyebaran yang terikat ke kombinasi grup sumber daya, wilayah, dan sistem operasi paket App Service (secara internal disebut ruang web). Dengan cara ini, sertifikat dapat diakses oleh aplikasi lain di kombinasi grup sumber daya dan wilayah yang sama. Sertifikat yang diunggah atau diimpor ke App Service dibagikan dengan App Services di unit penyebaran yang sama.

Prasyarat

Catatan

Saat ini, sertifikat App Service tidak didukung di Azure National Clouds.

Membeli dan mengonfigurasi sertifikat App Service

Memulai pembelian sertifikat

  1. Buka halaman pembuatan Sertifikat App Service, dan mulai pembelian Anda untuk sertifikat App Service.

    Catatan

    Sertifikat App Service yang dibeli dari Azure diterbitkan oleh GoDaddy. Untuk beberapa domain, Anda harus secara eksplisit mengizinkan GoDaddy sebagai pengeluar sertifikat dengan membuat baris domain CAA dengan nilai: 0 issue godaddy.com

    Cuplikan layar panel 'Buat Sertifikat App Service' dengan opsi beli.

  2. Untuk membantu Anda mengonfigurasi sertifikat, gunakan tabel berikut. Setelah selesai, pilih Tinjau + Buat, lalu pilih Buat.

    Pengaturan Deskripsi
    Langganan Langganan Azure untuk dikaitkan dengan sertifikat.
    Grup sumber daya Grup sumber daya yang akan berisi sertifikat. Anda dapat menggunakan grup sumber daya baru atau memilih grup sumber daya yang sama dengan aplikasi App Service.
    SKU Menentukan jenis sertifikat yang akan dibuat, baik sertifikat standar atau sertifikat wildcard.
    Nama Host Domain Telanjang Tentukan domain akar di sini. Sertifikat yang dikeluarkan mengamankan baik domain akar maupun subdomain www. Dalam sertifikat yang dikeluarkan, bidang Nama Umum berisi domain akar, dan bidang Nama Alternatif Subjek menentukan domain www. Untuk mengamankan hanya subdomain, tentukan nama domain yang sepenuhnya memenuhi syarat untuk subdomain, misalnya, mysubdomain.contoso.com.
    Nama sertifikat Nama yang mudah diingat untuk sertifikat App Service Anda.
    Aktifkan perpanjangan otomatis Pilih apakah akan memperbarui sertifikat secara otomatis sebelum kedaluwarsa. Setiap perpanjangan akan memperpanjang masa kedaluwarsa sertifikat selama satu tahun dan biaya dibebankan ke langganan Anda.

  3. Setelah penyebaran selesai, pilih Kembali ke sumber daya.

Menyimpan sertifikat di Azure Key Vault

Azure Key Vault membantu melindungi kunci kriptografi dan rahasia yang digunakan oleh aplikasi dan layanan cloud. Untuk sertifikat App Service, penyimpanan pilihan adalah Key Vault. Setelah menyelesaikan proses pembelian sertifikat, Anda harus menyelesaikan beberapa langkah lagi sebelum mulai menggunakan sertifikat ini.

  1. Buka halaman Sertifikat App Service, lalu pilih sertifikat. Pada menu sertifikat, pilih Konfigurasi Sertifikat>Langkah 1: Simpan.

    Cuplikan layar panel 'Konfigurasi Sertifikat' dengan 'Langkah 1: Simpan' dipilih.

  2. Pada halaman Status Key Vault, pilih Pilih dari Key Vault.

  3. Jika Anda membuat vault baru, siapkan vault berdasarkan tabel berikut, dan pastikan untuk menggunakan langganan dan grup sumber daya yang sama dengan aplikasi App Service Anda.

    Pengaturan Deskripsi
    Grup sumber daya Disarankan: grup sumber daya yang sama dengan sertifikat App Service Anda.
    Nama brankas kunci Nama unik yang hanya terdiri dari karakter alfanumerik dan tanda hubung.
    Wilayah Lokasi yang sama dengan aplikasi App Service Anda.
    Tingkat harga Untuk informasi, lihat Detail harga Azure Key Vault.
    Hari untuk mempertahankan vault yang dihapus Jumlah hari setelah penghapusan, di mana objek tetap dapat dipulihkan (lihat Gambaran umum penghapusan sementara Azure Key Vault). Tetapkan nilai antara 7 dan 90.
    Perlindungan penghapusan menyeluruh Mencegah objek objek st yang dihapus sementara untuk dihapus menyeluruh secara manual. Mengaktifkan opsi ini memaksa semua objek yang dihapus untuk tetap dalam status dihapus sementara selama seluruh durasi periode retensi.

  4. Pilih Berikutnya dan pilih Kebijakan akses vault. Saat ini, sertifikat App Service hanya mendukung kebijakan akses Key Vault, bukan model RBAC.

  5. Pilih Tinjau + buat, lalu pilih Buat.

  6. Setelah brankas kunci dibuat, jangan pilih Buka sumber daya tetapi tunggu halaman Pilih brankas kunci dari Azure Key Vault untuk memuat ulang.

  7. Pilih Pilih.

  8. Setelah brankas dipilih, tutup halaman Repositori Key Vault. Opsi Langkah 1: Simpan seharusnya menampilkan tanda centang hijau jika sukses. Tetap buka halaman untuk langkah berikutnya.

Mengonfirmasi kepemilikan domain

  1. Dari halaman Konfigurasi Sertifikat yang sama di bagian sebelumnya, klik Langkah 2: Verifikasi.

    Cuplikan layar panel 'Konfigurasi Sertifikat' dengan 'Langkah 2: Verifikasi' dipilih.

  2. Pilih Verifikasi App Service. Namun, karena sebelumnya Anda memetakan domain ke aplikasi web sesuai Prasyarat, domain kini sudah diverifikasi. Untuk menyelesaikan langkah ini, cukup pilih Verifikasi, lalu pilih Refresh hingga pesan Sertifikat Diverifikasi Domain muncul.

Metode verifikasi domain berikut didukung:

Metode Deskripsi
Verifikasi App Service Opsi yang paling nyaman adalah saat domain sudah dipetakan ke aplikasi App Service dalam langganan yang sama karena aplikasi App Service telah memverifikasi kepemilikan domain. Tinjau langkah terakhir ini dalam Mengonfirmasi kepemilikan domain.
Verifikasi Domain Konfirmasi domain App Service yang Anda beli dari Azure. Azure secara otomatis menambahkan rekaman TXT verifikasi untuk Anda dan menyelesaikan prosesnya.
Verifikasi Email Verifikasi domain dengan mengirim email ke administrator domain. Instruksi diberikan saat Anda memilih opsi.
Verifikasi Manual Konfirmasikan domain menggunakan data TXT DNS atau halaman HTML, yang hanya berlaku untuk sertifikat Standar sesuai catatan berikut. Langkah-langkah disediakan setelah Anda memilih opsi tersebut. Opsi halaman HTML tidak berfungsi untuk aplikasi web dengan "HTTPS Only" yang aktif. Untuk verifikasi domain melalui catatan DNS TXT untuk domain akar (yaitu. "contoso.com") atau subdomain (yaitu. "www.contoso.com", "test.api.contoso.com") dan terlepas dari SKU sertifikat, Anda perlu menambahkan catatan TXT di tingkat domain akar menggunakan '@' untuk nama dan token verifikasi domain untuk nilai dalam catatan DNS Anda.

Penting

Dengan sertifikat Standar, Anda mendapatkan sertifikat untuk domain tingkat atas yang diminta dan www subdomain, misalnya, contoso.com dan www.contoso.com. Namun, Verifikasi App Service dan Verifikasi Manual keduanya menggunakan verifikasi halaman HTML, yang tidak mendukung www subdomain saat menerbitkan, memasukkan ulang, atau memperbarui sertifikat. Untuk sertifikat Standar, gunakan Verifikasi Domain dan Verifikasi Email untuk menyertakan www subdomain dengan domain tingkat atas yang diminta dalam sertifikat.

Setelah sertifikat Anda diverifikasi domain, Anda siap untuk mengimpornya ke aplikasi App Service.

Memperbarui sertifikat App Service

Secara default, sertifikat App Service berlaku untuk satu tahun. Sebelum dan mendekati tanggal kedaluwarsa, Anda dapat memperbarui sertifikat App Service secara otomatis atau manual dalam tahapan satu tahun. Proses perpanjangan memberi Anda sertifikat App Service baru dengan tanggal kedaluwarsa diperpanjang hingga satu tahun dari tanggal kedaluwarsa sertifikat yang ada.

Catatan

Mulai 23 September 2021, jika Anda belum memverifikasi domain dalam 395 hari terakhir, sertifikat App Service memerlukan verifikasi domain selama proses perpanjangan atau penggantian kunci. Urutan sertifikat baru tetap dalam "penerbitan tertunda" selama perpanjangan atau penggantian kunci hingga Anda menyelesaikan verifikasi domain.

Tidak seperti sertifikat terkelola App Service gratis, verifikasi ulang domain untuk sertifikat App Service tidak otomatis. Gagal memverifikasi hasil kepemilikan domain di perpanjangan yang gagal. Untuk informasi selengkapnya tentang cara memverifikasi sertifikat App Service Anda, tinjau Mengonfirmasi kepemilikan domain.

Proses perpanjangan mengharuskan perwakilan layanan terkenal untuk App Service memiliki izin yang diperlukan di brankas kunci Anda. Izin ini disiapkan untuk Anda saat Anda mengimpor sertifikat App Service melalui portal Azure. Pastikan Anda tidak menghapus izin ini dari brankas kunci Anda.

  1. Untuk mengubah pengaturan perpanjangan otomatis untuk sertifikat App Service Anda kapan saja, di halaman Sertifikat App Service, pilih sertifikat.

  2. Di menu kiri, pilih Pengaturan Perpanjangan Otomatis.

  3. Pilih Aktifkan atau Nonaktifkan, lalu pilih Simpan.

    Jika Anda mengaktifkan perpanjangan otomatis, sertifikat dapat mulai diperpanjang secara otomatis 32 hari sebelum kedaluwarsa.

    Cuplikan layar pengaturan perpanjangan otomatis sertifikat tertentu.

  4. Untuk memperpanjang sertifikat secara manual, pilih Perpanjangan Manual. Anda dapat meminta untuk memperbarui sertifikat Anda secara manual 60 hari sebelum kedaluwarsa, tetapi tanggal kedaluwarsa maksimum adalah 397 hari.

  5. Setelah operasi perpanjangan selesai, pilih Sinkronkan.

    Klik sinkronkan otomatis memperbarui pengikatan nama host untuk sertifikat di App Service tanpa menyebabkan waktu henti pada aplikasi Anda.

    Catatan

    Jika Anda tidak memilih Sinkronkan, App Service otomatis menyinkronkan sertifikat Anda dalam waktu 24 jam.

Sertifikat Kunci Ulang dan App Service

Jika menurut Anda kunci privat sertifikat Anda disusupi, Anda dapat mengunci ulang sertifikat Anda. Tindakan ini merotasi sertifikat dengan sertifikat baru yang dikeluarkan dari otoritas sertifikat.

  1. Buka halaman Sertifikat App Service, lalu pilih sertifikat. Dari menu kiri, pilih Ganti Kunci dan Sinkronkan.

  2. Untuk memulai proses, pilih Ganti Kunci. Proses ini bisa memakan waktu 1-10 menit.

    Cuplikan layar penggantian kunci sertifikat App Service.

  3. Anda mungkin juga diwajibkan mengonfirmasi ulang kepemilikan domain.

  4. Setelah operasi penggantian kunci selesai, pilih Sinkronkan.

    Klik sinkronkan otomatis memperbarui pengikatan nama host untuk sertifikat di App Service tanpa menyebabkan waktu henti pada aplikasi Anda.

    Catatan

    Jika Anda tidak memilih Sinkronkan, App Service otomatis menyinkronkan sertifikat Anda dalam waktu 24 jam.

Mengekspor sertifikat App Service

Karena Sertifikat App Service adalah rahasia Key Vault, Anda dapat mengekspor salinan file PFX yang dapat digunakan untuk layanan Azure lain atau di luar Azure.

Penting

Sertifikat yang diekspor adalah artefak yang tidak dikelola. App Service tidak menyinkronkan artefak tersebut saat Sertifikat App Service diperbarui. Anda harus mengekspor dan menginstal sertifikat yang diperpanjang di tempat yang Anda butuhkan.

  1. Buka halaman Sertifikat App Service, lalu pilih sertifikat.

  2. Di menu kiri, pilih Ekspor Sertifikat.

  3. Pilih Buka Rahasia Key Vault.

  4. Pilih versi sertifikat saat ini.

  5. Pilih Unduh sebagai sertifikat.

File PFX yang diunduh adalah file PKCS12 mentah yang berisi sertifikat publik dan privat, dan kata sandi impornya adalah string kosong. Anda dapat menginstalnya secara lokal dengan membiarkan bidang kata sandi kosong. Anda tidak dapat mengunggah file apa adanya ke App Service karena file tidak dilindungi kata sandi.

Menghapus sertifikat App Service

Jika Anda menghapus sertifikat App Service, operasi penghapusan tidak dapat diubah dan bersifat final. Hasilnya adalah sertifikat yang dicabut, dan pengikatan apa pun dalam App Service yang menggunakan sertifikat ini menjadi tidak valid.

  1. Buka halaman Sertifikat App Service, lalu pilih sertifikat.

  2. Dari menu kiri, pilih Ringkasan>Hapus.

  3. Saat kotak konfirmasi terbuka, masukkan nama sertifikat, lali pilih Oke.

Tanya jawab umum

Sertifikat App Service saya tidak memiliki nilai apa pun di Key Vault

Sertifikat App Service Anda kemungkinan besar masih belum diverifikasi domain. Hingga kepemilikan domain dikonfirmasi, sertifikat App Service Anda belum siap digunakan. Sebagai rahasia brankas kunci, ia mempertahankan Initialize tag, dan nilai dan jenis kontennya tetap kosong. Ketika kepemilikan domain dikonfirmasi, rahasia brankas kunci menunjukkan nilai dan jenis konten, dan tag berubah menjadi Ready.

Saya tidak dapat mengekspor sertifikat App Service saya dengan PowerShell

Sertifikat App Service Anda kemungkinan besar masih belum diverifikasi domain. Hingga kepemilikan domain dikonfirmasi, sertifikat App Service Anda belum siap digunakan.

Perubahan apa yang dilakukan proses pembuatan sertifikat App Service ke Key Vault saya yang ada?

Proses pembuatan membuat perubahan berikut:

  • Menambahkan dua kebijakan akses di vault:
    • Microsoft.Azure.WebSites (atau Microsoft Azure App Service)
    • Penyedia Sumber Daya CSM penjual sertifikat Microsoft (atau Microsoft.Azure.CertificateRegistration)
  • Membuat kunci penghapusan pada vault yang dipanggil: AppServiceCertificateLock untuk mencegah penghapusan brankas kunci yang tidak disengaja.

Sumber daya lainnya