Aggiungere un certificato TLS/SSL nel Servizio app di AzureAdd a TLS/SSL certificate in Azure App Service

Servizio app di Azure offre un servizio di hosting Web con scalabilità elevata e funzioni di auto-correzione.Azure App Service provides a highly scalable, self-patching web hosting service. Questo articolo illustra come creare, caricare o importare un certificato privato o un certificato pubblico nel servizio app.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Dopo aver aggiunto il certificato all'app del servizio app o all'app per le funzioni, è possibile proteggere un nome DNS personalizzato con tale certificato o usarlo nel codice dell'applicazione.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

La tabella seguente elenca le opzioni disponibili per aggiungere certificati nel servizio app:The following table lists the options you have for adding certificates in App Service:

OpzioneOption DescrizioneDescription
Creare un certificato gratuito gestito dal servizio app (anteprima)Create a free App Service Managed Certificate (Preview) Un certificato privato facile da usare se è sufficiente proteggere il proprio dominio personalizzato www o qualsiasi dominio non di tipo naked nel servizio app.A private certificate that's easy to use if you just need to secure your www custom domain or any non-naked domain in App Service.
Acquistare un certificato del servizio appPurchase an App Service certificate Un certificato privato gestito da Azure.A private certificate that's managed by Azure. Combina la semplicità della gestione automatica dei certificati e la flessibilità delle opzioni di rinnovo ed esportazione.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importare un certificato da Key VaultImport a certificate from Key Vault Utile se si usa Azure Key Vault per gestire i certificati PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Vedere Requisiti dei certificati privati.See Private certificate requirements.
Caricare un certificato privatoUpload a private certificate Se si ha già un certificato privato rilasciato da un provider di terze parti, è possibile caricarlo.If you already have a private certificate from a third-party provider, you can upload it. Vedere Requisiti dei certificati privati.See Private certificate requirements.
Caricare un certificato pubblicoUpload a public certificate I certificati pubblici non vengono usati per proteggere i domini personalizzati, ma è possibile caricarli nel codice se sono necessari per accedere a risorse remote.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

PrerequisitiPrerequisites

Per completare questa guida pratica:To follow this how-to guide:

Requisiti dei certificati privatiPrivate certificate requirements

Nota

App Web di Azure non supporta la crittografia AES256 e tutti i file PFX devono essere crittografati tramite TripleDES.Azure Web Apps does not support AES256 and all pfx files should be encrypted with TripleDES.

Il certificato gratuito gestito dal servizio app o il certificato del servizio app soddisfano già i requisiti del servizio.The free App Service Managed Certificate or the App Service certificate already satisfy the requirements of App Service. Se si sceglie di caricare o importare un certificato privato nel servizio app, il certificato deve soddisfare i requisiti seguenti:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Deve essere esportato come file PFX protetto da passwordExported as a password-protected PFX file
  • Deve contenere una chiave privata costituita da almeno 2048 bitContains private key at least 2048 bits long
  • Deve contenere tutti i certificati intermedi nella catena di certificati.Contains all intermediate certificates in the certificate chain

Per proteggere un dominio personalizzato in un'associazione TLS/SSL, il certificato presenta requisiti aggiuntivi:To secure a custom domain in a TLS binding, the certificate has additional requirements:

  • Contiene un'estensione di utilizzo chiavi avanzato per l'autenticazione server (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Deve essere firmato da un'autorità di certificazione attendibileSigned by a trusted certificate authority

Nota

Sebbene non siano descritti in questo articolo, i certificati di crittografia a curva ellittica (ECC) possono essere usati con il servizio app.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Per informazioni sulla procedura per creare i certificati ECC, rivolgersi all'autorità di certificazione.Work with your certificate authority on the exact steps to create ECC certificates.

Preparare l'app WebPrepare your web app

Per creare binding di sicurezza personalizzati o abilitare i certificati client per l'app del servizio app, il livello del piano di servizio app deve essere Basic, Standard, Premium o Isolato.To create custom security bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. In questo passaggio si verifica che l'app Web sia supportata dal piano tariffario adeguato.In this step, you make sure that your web app is in the supported pricing tier.

Accedere ad AzureSign in to Azure

Aprire il portale di Azure.Open the Azure portal.

Cercare e selezionare Servizi app.Search for and select App Services.

Selezionare Servizi app

Nella pagina Servizi app selezionare il nome dell'app Web.On the App Services page, select the name of your web app.

Passaggio all'app di Azure nel portale

Viene visualizzata la pagina di gestione dell'app Web.You have landed on the management page of your web app.

Scegliere il piano tariffarioCheck the pricing tier

Nel riquadro di spostamento a sinistra della pagina dell'app Web scorrere fino alla sezione Impostazioni e selezionare Scala verticalmente (piano di servizio app) .In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu di scalabilità verticale

Verificare che l'app Web non sia inclusa nel livello F1 o D1.Check to make sure that your web app is not in the F1 or D1 tier. Il livello corrente dell'app Web è evidenziato da una casella blu scuro.Your web app's current tier is highlighted by a dark blue box.

Controllare il piano tariffario

Il certificato SSL personalizzato non è supportato nel livello F1 o D1.Custom SSL is not supported in the F1 or D1 tier. Se è necessario passare a un livello superiore, seguire la procedura della sezione successiva.If you need to scale up, follow the steps in the next section. Altrimenti, chiudere la pagina Aumenta e ignorare la sezione Passare a un piano di servizio app superiore sezione.Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Passare a un piano di servizio app superioreScale up your App Service plan

Selezionare uno dei livelli non gratuiti (B1, B2, B3 o uno qualsiasi dei livelli della categoria Produzione).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Per altre opzioni, fare clic su Visualizza opzioni aggiuntive.For additional options, click See additional options.

Fare clic su Apply.Click Apply.

Scegliere un piano tariffario

La visualizzazione della notifica seguente indica che l'operazione di passaggio al livello superiore è stata completata.When you see the following notification, the scale operation is complete.

Notifica di passaggio al livello superiore

Creare un certificato gratuito (anteprima)Create a free certificate (Preview)

Il certificato gratuito gestito dal servizio app è una soluzione rapida ed efficace per proteggere il proprio nome DNS personalizzato nel servizio app.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. Si tratta di un certificato TLS/SSL completamente funzionante che viene gestito dal servizio app e rinnovato automaticamente.It's a fully functional TLS/SSL certificate that's managed by App Service and renewed automatically. Il certificato gratuito presenta le limitazioni seguenti:The free certificate comes with the following limitations:

  • Non supporta i certificati con caratteri jolly.Does not support wildcard certificates.
  • Non supporta i domini di tipo naked.Does not support naked domains.
  • Non è esportabile.Is not exportable.
  • Non supporta i record A DNS.Does not support DNS A-records.

Nota

Il certificato gratuito viene rilasciato da DigiCert.The free certificate is issued by DigiCert. Per alcuni domini di primo livello, è necessario consentire in modo esplicito a DigiCert di agire come autorità di certificazione creando un record di dominio CAA con il valore seguente: 0 issue digicert.com.For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

Per creare un certificato gratuito gestito dal servizio app:To create a free App Service Managed Certificate:

Nel menu a sinistra del portale di Azure scegliere Servizi app > <nome app> .In the Azure portal, from the left menu, select App Services > <app-name>.

Nel riquadro di spostamento a sinistra dell'app selezionare Impostazioni TLS/SSL > Certificati a chiave privata (.pfx) > Crea certificato gestito dal servizio app.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Creare il certificato gratuito nel servizio app

Nella finestra di dialogo sono elencati tutti i domini non di tipo naked mappati correttamente all'app con un record CNAME.Any non-naked domain that's properly mapped to your app with a CNAME record is listed in the dialog. Selezionare il dominio personalizzato per il quale creare un certificato gratuito e scegliere Crea.Select the custom domain to create a free certificate for and select Create. È possibile creare un solo certificato per ogni dominio personalizzato supportato.You can create only one certificate for each supported custom domain.

Al termine dell'operazione, il certificato viene visualizzato nell'elenco Certificati a chiave privata.When the operation completes, you see the certificate in the Private Key Certificates list.

Creazione del certificato gratuito completata

Importante

Per proteggere un dominio personalizzato con questo certificato, è necessario anche creare un'associazione di certificato.To secure a custom domain with this certificate, you still need to create a certificate binding. Seguire la procedura descritta in Creare l'associazione.Follow the steps in Create binding.

Importare un certificato del servizio appImport an App Service Certificate

Se si acquista un certificato del servizio app da Azure, Azure gestisce le attività seguenti:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Si occupa del processo di acquisto da GoDaddy.Takes care of the purchase process from GoDaddy.
  • Esegue la verifica del dominio del certificato.Performs domain verification of the certificate.
  • Gestisce il certificato in Azure Key Vault.Maintains the certificate in Azure Key Vault.
  • Gestisce il rinnovo del certificato (vedere Rinnovare il certificato).Manages certificate renewal (see Renew certificate).
  • Sincronizza automaticamente il certificato con le copie importate nelle app del servizio app.Synchronize the certificate automatically with the imported copies in App Service apps.

Per acquistare un certificato del servizio app, passare ad Avvio dell'ordine del certificato.To purchase an App Service certificate, go to Start certificate order.

Se si ha già un certificato del servizio app funzionante, è possibile:If you already have a working App Service certificate, you can:

Avvio dell'ordine del certificatoStart certificate order

Avviare un ordine di un certificato del servizio app nella pagina di creazione del certificato del servizio app.Start an App Service certificate order in the App Service Certificate create page.

Avviare l'acquisto del certificato del servizio app

Usare la tabella seguente per informazioni sulla configurazione del certificato.Use the following table to help you configure the certificate. Al termine, fare clic su Crea.When finished, click Create.

ImpostazioneSetting DescrizioneDescription
NomeName Nome descrittivo per il certificato del servizio app.A friendly name for your App Service certificate.
Nome host di dominio di tipo nakedNaked Domain Host Name Specificare qui il dominio radice.Specify the root domain here. Il certificato emesso protegge sia il dominio radice sia il sottodominio www.The issued certificate secures both the root domain and the www subdomain. Nel certificato emesso, il campo relativo al nome comune contiene il dominio radice e quello relativo al nome alternativo del soggetto contiene il dominio www.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Per proteggere solo un sottodominio, specificare qui il nome di dominio completo del sottodominio, ad esempio mysubdomain.contoso.com.To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubscriptionSubscription Sottoscrizione che conterrà il certificato.The subscription that will contain the certificate.
Resource groupResource group Gruppo di risorse che conterrà il certificato.The resource group that will contain the certificate. È possibile usare un nuovo gruppo di risorse o selezionare lo stesso gruppo di risorse, ad esempio, dell'app del servizio app.You can use a new resource group or select the same resource group as your App Service app, for example.
Certificato SKUCertificate SKU Determina il tipo di certificato da creare, se si tratta di un certificato standard o di un certificato con caratteri jolly.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Note legaliLegal Terms Fare clic per confermare che si accettano le condizioni legali.Click to confirm that you agree with the legal terms. I certificati vengono ottenuti da GoDaddy.The certificates are obtained from GoDaddy.

Archiviare il certificato in Azure Key VaultStore in Azure Key Vault

Al termine del processo di acquisto del certificato, è necessario completare alcuni passaggi aggiuntivi prima di potere iniziare a usarlo.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Selezionare il certificato nella pagina Certificati del servizio app e quindi fare clic su Configurazione certificato > Passaggio 1: archiviare.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Configurare l'archiviazione Key Vault del certificato del servizio app

Il Key Vault è un servizio di Azure che consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. È l'archiviazione scelta per i certificati del servizio app.It's the storage of choice for App Service certificates.

Nella pagina Stato insieme di credenziali delle chiavi fare clic su Repository dell'insieme di credenziali delle chiavi per creare un nuovo insieme di credenziali o sceglierne uno esistente.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Se si sceglie di creare un nuovo insieme di credenziali, usare la tabella seguente per configurarlo e quindi fare clic su Crea.If you choose to create a new vault, use the following table to help you configure the vault and click Create. Creare il nuovo insieme di credenziali delle chiavi nella stessa sottoscrizione e nello stesso gruppo di risorse dell'app del servizio app.Create the new Key Vault inside the same subscription and resource group as your App Service app.

ImpostazioneSetting DescrizioneDescription
NomeName Nome univoco costituito da caratteri alfanumerici e trattini.A unique name that consists for alphanumeric characters and dashes.
Resource groupResource group È consigliabile selezionare lo stesso gruppo di risorse del certificato del servizio app.As a recommendation, select the same resource group as your App Service certificate.
LocationLocation Selezionare la stessa località dell'app del servizio app.Select the same location as your App Service app.
Piano tariffarioPricing tier Per altre informazioni, vedere Prezzi di Azure Key Vault.For information, see Azure Key Vault pricing details.
Criteri di accessoAccess policies Definisce le applicazioni e l'accesso consentito alle risorse dell'insieme di credenziali.Defines the applications and the allowed access to the vault resources. È possibile configurare questa impostazione in un secondo momento, seguendo i passaggi descritti in Concedere a diverse applicazioni l'autorizzazione per accedere a un insieme di credenziali delle chiavi.You can configure it later, following the steps at Grant several applications access to a key vault.
Accesso alla rete virtualeVirtual Network Access Limitare l'accesso all'insieme di credenziali a determinate reti virtuali di Azure.Restrict vault access to certain Azure virtual networks. È possibile configurare questa impostazione in un secondo momento, seguendo i passaggi descritti in Configurare reti virtuali e firewall di Azure Key VaultYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Dopo aver selezionato l'insieme di credenziali, chiudere la pagina Repository dell'insieme di credenziali delle chiavi.Once you've selected the vault, close the Key Vault Repository page. L'opzione Passaggio 1: archiviare dovrebbe mostrare un segno di spunta verde, a indicare che l'operazione è riuscita.The Step 1: Store option should show a green check mark for success. Mantenere aperta la pagina per proseguire con il passaggio successivo.Keep the page open for the next step.

Verificare la proprietà del dominioVerify domain ownership

Nella stessa pagina Configurazione certificato usata nell'ultimo passaggio fare clic su Passaggio 2: verificare.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Verificare il dominio per il certificato del servizio app

Selezionare Verifica del servizio app.Select App Service Verification. Poiché è già stato eseguito il mapping del dominio all'app Web (vedere Prerequisiti), è già stato verificato.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Fare semplicemente clic su Verifica per completare questo passaggio.Just click Verify to finish this step. Fare clic sul pulsante Aggiorna finché non viene visualizzato il messaggio Il dominio del certificato è stato verificato.Click the Refresh button until the message Certificate is Domain Verified appears.

Nota

Sono supportati quattro tipi di metodi di verifica del dominio:Four types of domain verification methods are supported:

  • Servizio app: opzione più pratica quando è già stato eseguito il mapping del dominio a un'app del servizio app nella stessa sottoscrizione.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. in quanto l'app del servizio app ha già verificato la proprietà del dominio.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Dominio: verificare un dominio del servizio app acquistato da Azure.Domain - Verify an App Service domain that you purchased from Azure. Azure aggiunge automaticamente il record TXT di verifica e completa il processo.Azure automatically adds the verification TXT record for you and completes the process.
  • Posta: verificare il dominio inviando un messaggio di posta elettronica all'amministratore di dominio.Mail - Verify the domain by sending an email to the domain administrator. Quando si seleziona questa opzione, vengono fornite istruzioni.Instructions are provided when you select the option.
  • Manuale: verificare il dominio usando una pagina HTML (solo per un certificato Standard) o un record TXT DNS.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. Quando si seleziona questa opzione, vengono fornite istruzioni.Instructions are provided when you select the option.

Importare il certificato nel servizio appImport certificate into App Service

Nel menu a sinistra del portale di Azure scegliere Servizi app > <nome app> .In the Azure portal, from the left menu, select App Services > <app-name>.

Nel riquadro di spostamento a sinistra dell'app selezionare Impostazioni TLS/SSL > Certificati a chiave privata (.pfx) > Importa il certificato del servizio app.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importare il certificato nel servizio app

Selezionare il certificato appena acquistato e scegliere OK.Select the certificate that you just purchased and select OK.

Al termine dell'operazione, il certificato viene visualizzato nell'elenco Certificati a chiave privata.When the operation completes, you see the certificate in the Private Key Certificates list.

Importazione del certificato del servizio app completata

Importante

Per proteggere un dominio personalizzato con questo certificato, è necessario anche creare un'associazione di certificato.To secure a custom domain with this certificate, you still need to create a certificate binding. Seguire la procedura descritta in Creare l'associazione.Follow the steps in Create binding.

Importare un certificato da Key VaultImport a certificate from Key Vault

Se si usa Azure Key Vault per gestire i certificati, è possibile importare un certificato PKCS12 da Key Vault nel servizio app, purché siano soddisfatti i requisiti.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

Nel menu a sinistra del portale di Azure scegliere Servizi app > <nome app> .In the Azure portal, from the left menu, select App Services > <app-name>.

Nel riquadro di spostamento a sinistra dell'app selezionare Impostazioni TLS/SSL > Certificati a chiave privata (.pfx) > Importa certificato dell'insieme di credenziali delle chiavi.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importare il certificato di Key Vault nel servizio app

La tabella seguente contiene informazioni utili per facilitare la selezione del certificato.Use the following table to help you select the certificate.

ImpostazioneSetting DescrizioneDescription
SubscriptionSubscription La sottoscrizione a cui appartiene l'istanza di Key Vault.The subscription that the Key Vault belongs to.
Key VaultKey Vault L'insieme di credenziali con il certificato da importare.The vault with the certificate you want to import.
CertificatoCertificate Selezionare il certificato dall'elenco di certificati PKCS12 nell'insieme di credenziali.Select from the list of PKCS12 certificates in the vault. Tutti i certificati PKCS12 nell'insieme di credenziali sono elencati con le relative identificazioni, ma non tutti sono supportati nel servizio app.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Al termine dell'operazione, il certificato viene visualizzato nell'elenco Certificati a chiave privata.When the operation completes, you see the certificate in the Private Key Certificates list. Se l'importazione non riesce e viene restituito un errore, significa che il certificato non soddisfa i requisiti per il servizio app.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Importazione del certificato di Key Vault completata

Importante

Per proteggere un dominio personalizzato con questo certificato, è necessario anche creare un'associazione di certificato.To secure a custom domain with this certificate, you still need to create a certificate binding. Seguire la procedura descritta in Creare l'associazione.Follow the steps in Create binding.

Caricare un certificato privatoUpload a private certificate

Dopo aver ottenuto un certificato dal provider di certificati, seguire i passaggi descritti in questa sezione per prepararlo per il Servizio app.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Unire i certificati intermediMerge intermediate certificates

Se l'autorità di certificazione offre più certificati nella catena di certificati, è necessario unire i certificati nell'ordine.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

A tale scopo, aprire ogni certificato ricevuto in un editor di testo.To do this, open each certificate you received in a text editor.

Creare un file per il certificato unito denominato mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. In un editor di testo copiare il contenuto di ogni certificato nel file.In a text editor, copy the content of each certificate into this file. L'ordine dei certificati deve corrispondere all'ordine nella catena di certificati, che inizia con il certificato dell'utente e termina con il certificato radice.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. Sarà simile a quanto indicato nell'esempio seguente:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Esportare il certificato in un file PFXExport certificate to PFX

Esportare il certificato TLS/SSL unito con la chiave privata con cui è stata generata la richiesta del certificato.Export your merged TLS/SSL certificate with the private key that your certificate request was generated with.

Se è stato usato OpenSSL per generare la richiesta del certificato, è stato creato un file di chiave privata.If you generated your certificate request using OpenSSL, then you have created a private key file. Per esportare il certificato in un file PFX, eseguire il comando seguente.To export your certificate to PFX, run the following command. Sostituire i segnaposto <private-key-file> e <merged-certificate-file> con i percorsi della chiave privata e del file di certificato unito.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Quando richiesto, definire una password di esportazione.When prompted, define an export password. La password verrà usata in seguito durante il caricamento del certificato TLS/SSL nel servizio app.You'll use this password when uploading your TLS/SSL certificate to App Service later.

se è stato usato IIS o Certreq.exe per generare la richiesta di certificato, installare il certificato nel computer locale e quindi esportarlo in un file PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Caricare il certificato nel servizio appUpload certificate to App Service

A questo punto si è pronti per caricare il certificato nel Servizio app.You're now ready upload the certificate to App Service.

Nel menu a sinistra del portale di Azure scegliere Servizi app > <nome app> .In the Azure portal, from the left menu, select App Services > <app-name>.

Nel riquadro di spostamento a sinistra dell'app selezionare Impostazioni TLS/SSL > Certificati a chiave privata (.pfx) > Carica certificato.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Caricare il certificato privato nel servizio app

In File del certificato PFX selezionare il file PFX.In PFX Certificate File, select your PFX file. In Password certificato digitare la password creata durante l'esportazione del file PFX.In Certificate password, type the password that you created when you exported the PFX file. Al termine, fare clic su Carica.When finished, click Upload.

Al termine dell'operazione, il certificato viene visualizzato nell'elenco Certificati a chiave privata.When the operation completes, you see the certificate in the Private Key Certificates list.

Caricamento del certificato completato

Importante

Per proteggere un dominio personalizzato con questo certificato, è necessario anche creare un'associazione di certificato.To secure a custom domain with this certificate, you still need to create a certificate binding. Seguire la procedura descritta in Creare l'associazione.Follow the steps in Create binding.

Caricare un certificato pubblicoUpload a public certificate

I certificati pubblici sono supportati nel formato .cer.Public certificates are supported in the .cer format.

Nel menu a sinistra del portale di Azure scegliere Servizi app > <nome app> .In the Azure portal, from the left menu, select App Services > <app-name>.

Nel riquadro di spostamento a sinistra dell'app selezionare Impostazioni TLS/SSL > Certificati pubblici (.cer) > Carica certificato a chiave pubblica.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

In Nome digitare un nome per il certificato.In Name, type a name for the certificate. In File di certificato CER selezionare il file CER.In CER Certificate file, select your CER file.

Fare clic su Carica.Click Upload.

Caricare il certificato pubblico nel servizio app

Dopo aver caricato il certificato, copiare l'identificazione personale del certificato e vedere Rendere accessibile il certificato.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Gestire i certificati del servizio appManage App Service certificates

Questa sezione illustra come gestire un certificato del servizio app acquistato con la procedura descritta in Importare un certificato del servizio app.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Reimpostare la chiave del certificatoRekey certificate

Se si ritiene che la chiave privata del certificato sia compromessa, è possibile reimpostarla.If you think your certificate's private key is compromised, you can rekey your certificate. Selezionare il certificato nella pagina Certificati del servizio app e quindi selezionare Reimposta chiavi e sincronizza nel riquadro di spostamento a sinistra.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Fare clic su Reimposta chiavi per avviare il processo.Click Rekey to start the process. Questo processo può richiedere da 1 a 10 minuti.This process can take 1-10 minutes to complete.

Reimpostare la chiave di un certificato del servizio app

Con la reimpostazione viene emesso un nuovo certificato da parte dell'autorità di certificazione.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Al termine dell'operazione di reimpostazione della chiave, fare clic su Sincronizza. L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se non si fa clic su Sincronizza, il servizio app sincronizza automaticamente il certificato entro 48 ore.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Certificato da rinnovareRenew certificate

Per attivare il rinnovo automatico del certificato in qualsiasi momento, selezionare il certificato nella pagina Certificati del servizio app e quindi fare clic su Impostazioni di rinnovo automatico nel riquadro di spostamento a sinistra.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Per impostazione predefinita, i certificati del servizio app hanno un periodo di validità di un anno.By default, App Service Certificates have a one-year validity period.

Selezionare Attivato e fare clic su Salva.Select On and click Save. Il rinnovo dei certificati può essere avviato automaticamente 60 giorni prima della scadenza se è attivato il rinnovo automatico.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Rinnovare automaticamente il certificato del servizio app

Per rinnovare il certificato manualmente, fare clic su Rinnovo manuale.To manually renew the certificate instead, click Manual Renew. È possibile richiedere di rinnovare il certificato manualmente 60 giorni prima della scadenza.You can request to manually renew your certificate 60 days before expiration.

Al termine dell'operazione di rinnovo, fare clic su Sincronizza. L'operazione di sincronizzazione aggiorna automaticamente le associazioni di nome host per il certificato nel servizio app senza causare tempi di inattività per le app.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se non si fa clic su Sincronizza, il servizio app sincronizza automaticamente il certificato entro 48 ore.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Esportare il certificatoExport certificate

Dal momento che un certificato del servizio app è un segreto di Key Vault, è possibile esportarne una copia in formato PFX e usarla per altri servizi di Azure o all'esterno di Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Per esportare il certificato del servizio app come file PFX, eseguire i comandi seguenti in Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. È possibile eseguire questa operazione anche in locale se è stata installata l'interfaccia della riga di comando di Azure.You can also run it locally if you installed Azure CLI. Sostituire i segnaposto con i nomi usati al momento della creazione del certificato del servizio app.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Il file appservicecertificate.pfx scaricato è un file PKCS12 non elaborato che contiene certificati pubblici e privati.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. A ogni prompt usare una stringa vuota sia per la password di importazione che per la passphrase PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Eliminazione di un certificatoDelete certificate

L'eliminazione di un certificato del servizio app è un'operazione definitiva e irreversibile.Deletion of an App Service certificate is final and irreversible. L'eliminazione di una risorsa certificato del servizio app comporta la revoca del certificato.Deletion of a App Service Certificate resource results in the certificate being revoked. Qualsiasi associazione a questo certificato nel servizio app diventa non valida.Any binding in App Service with this certificate becomes invalid. Per impedire l'eliminazione accidentale, Azure applica un blocco al certificato.To prevent accidental deletion, Azure puts a lock on the certificate. Per eliminare un certificato del servizio app, è necessario prima rimuovere il blocco per l'eliminazione sul certificato.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Selezionare il certificato nella pagina Certificati del servizio app e quindi selezionare Blocchi nel riquadro di spostamento a sinistra.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Trovare il blocco di tipo Elimina sul certificato.Find the lock on your certificate with the lock type Delete. A destra del blocco selezionare Elimina.To the right of it, select Delete.

Eliminare il blocco per il certificato del servizio app

A questo punto è possibile eliminare il certificato del servizio app.Now you can delete the App Service certificate. Nel riquadro di spostamento a sinistra selezionare Panoramica > Elimina.From the left navigation, select Overview > Delete. Nella finestra di dialogo di conferma digitare il nome del certificato e scegliere OK.In the confirmation dialog, type the certificate name and select OK.

Automatizzazione con gli scriptAutomate with scripts

Interfaccia della riga di comando di AzureAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Altre risorseMore resources