Een TLS/SSL-certificaat toevoegen in Azure App Service
Azure App Service biedt een uiterst schaalbare webhostingservice met self-patchfunctie. In dit artikel wordt beschreven hoe u een persoonlijk certificaat of een openbaar certificaat maakt, uploadt of importeert in App Service.
Nadat het certificaat is toegevoegd aan uw App Service-app of functie-app, kunt u er een aangepaste DNS-naam mee beveiligen of het certificaat gebruiken in uw toepassingscode.
Notitie
Een certificaat dat is geüpload naar een app wordt opgeslagen in een implementatie-eenheid die is gebonden aan de combinatie van resourcegroep en regio van het App Service-plan (intern een webruimte genoemd). Hierdoor is het certificaat toegankelijk voor andere apps in dezelfde combinatie van resourcegroep en regio.
De volgende tabel bevat de beschikbare opties voor het toevoegen van certificaten in App Service:
| Optie | Beschrijving |
|---|---|
| Een gratis App Service beheerd certificaat maken | Een persoonlijk certificaat dat gratis en eenvoudig te gebruiken is als u alleen uw aangepaste domein hoeft te beveiligen in App Service. |
| Een App Service-certificaat kopen | Een persoonlijk certificaat dat wordt beheerd door Azure. Het certificaat biedt de eenvoud van geautomatiseerd certificaatbeheer, gecombineerd met de flexibiliteit van opties voor verlengen en exporteren. |
| Een certificaat uit Key Vault importeren | Dit is handig als u Azure Key Vault gebruikt voor het beheren van uw PKCS12-certificaten. Zie Vereisten voor persoonlijke certificaten. |
| Een persoonlijk certificaat uploaden | Als u al een persoonlijk certificaat van een externe provider hebt, kunt u het certificaat uploaden. Zie Vereisten voor persoonlijke certificaten. |
| Een openbaar certificaat uploaden | Openbare certificaten worden niet gebruikt voor het beveiligen van aangepaste domeinen, maar u kunt deze in uw code laden als u ze nodig hebt om toegang te krijgen tot externe resources. |
Vereisten
- Maak een App Service-app.
- Zorg er voor een persoonlijk certificaat voor dat het voldoet aan alle vereisten van App Service.
- Alleen gratis certificaat:
- Wijs het domein toe waarop u een certificaat wilt App Service. Zie Zelfstudie: Een bestaande aangepaste DNS-naamaan een Azure App Service.
- Voor een hoofddomein (zoals contoso.com) moet u ervoor zorgen dat er voor uw app geen IP-beperkingen zijn geconfigureerd. Het maken van certificaten en de periodieke verlenging van een hoofddomein is afhankelijk van of uw app bereikbaar is via internet.
Vereisten voor persoonlijke certificaten
Het gratis App Service beheerd certificaat en het App Service certificaat voldoen al aan de vereisten van App Service. Als u ervoor kiest om een persoonlijk certificaat te uploaden of te importeren naar App Service, moet uw certificaat voldoen aan de volgende vereisten:
- Geëxporteerd als een PFX-bestand met wachtwoordversleuteling,versleuteld met behulp van drie keer DES.
- Bevat een persoonlijke sleutel van minstens 2048 bits
- Bevat alle tussenliggende certificaten en het basiscertificaat in de certificaatketen.
Voor het beveiligen van een aangepast domein in een TLS-binding heeft het certificaat aanvullende vereisten:
- Bevat een Uitgebreide-sleutelgebruik voor serververificatie (OID = 1.3.6.1.5.5.7.3.1)
- Ondertekend door een vertrouwde certificeringsinstantie
Notitie
ECC-certificaten (cryptografie met behulp van elliptische krommen) kunnen met App Service worden gebruikt, maar worden niet in dit artikel beschreven. Werk samen met uw certificeringsinstantie aan de exacte stappen voor het maken van ECC-certificaten.
Uw web-app voorbereiden
Als u aangepaste TLS-/SSL-bindingen wilt maken of clientcertificaten wilt inschakelen voor uw App Service-app, moet uw App Service-plan zich bevinden in de laag Basic, Standard, Premium of Isolated. In deze stap zorgt u ervoor dat de web-app zich in de ondersteunde prijscategorie bevindt.
Aanmelden bij Azure
Open Azure Portal.
Navigeer naar uw web-app
Zoek en selecteer App Services.
Selecteer op de pagina App Services de naam van uw web-app.
U bevindt zich op de beheerpagina van uw web-app.
Controleer de prijscategorie
Scrol in de navigatiebalk links van de web-app-pagina naar het gedeelte Instellingen en selecteer Opschalen (App Service-plan).
Controleer of de web-app zich niet in de laag F1 of D1 bevindt. De huidige categorie van de web-app is gemarkeerd met een donkerblauw vak.
Aangepaste SSL wordt niet ondersteund in de laag F1 of D1. Als u omhoog moet schalen, volgt u de stappen in het volgende gedeelte. Sluit anders de pagina Omhoog schalen en sla de sectie Uw App Service-plan omhoog schalen over.
Uw App Service-plan omhoog schalen
Selecteer een van de lagen die niet gratis zijn (B1, B2, B3 of een laag in de categorie Productie). Klik op Aanvullende opties bekijken voor aanvullende opties.
Klik op Toepassen.
Wanneer u de volgende melding ziet, is de schaalbewerking voltooid.
Een gratis beheerd certificaat maken
Notitie
Voordat u een gratis beheerd certificaat maakt, moet u ervoor zorgen dat u aan de vereisten voor uw app hebt voldaan.
Het gratis App Service beheerde certificaat is een gebruikssleuteloplossing voor het beveiligen van uw aangepaste DNS-naam in App Service. Het is een TLS/SSL-servercertificaat dat volledig wordt beheerd door App Service en continu en automatisch wordt vernieuwd in stappen van zes maanden, 45 dagen vóór de vervaldatum. U maakt het certificaat en verbindt het met een aangepast domein en laat App Service de rest doen.
Het gratis certificaat wordt geleverd met de volgende beperkingen:
- Het biedt geen ondersteuning voor wildcard-certificaten.
- Biedt geen ondersteuning voor gebruik als clientcertificaat op basis van de vingerafdruk van het certificaat (het verwijderen van de vingerafdruk van het certificaat is gepland).
- Het kan niet worden geëxporteerd.
- Wordt niet ondersteund op App Service niet openbaar toegankelijk.
- Wordt niet ondersteund op App Service Environment (ASE).
- Wordt niet ondersteund met hoofddomeinen die zijn geïntegreerd met Traffic Manager.
- Als een certificaat voor een CNAME-mapped domein is, moet de CNAME rechtstreeks worden toe te staan aan
<app-name>.azurewebsites.net.
Notitie
Het gratis certificaat wordt uitgegeven door DigiCert. Voor sommige domeinen moet u DigiCert expliciet toestaan als certificaatverkender door een CAA-domeinrecord te maken met de waarde : 0 issue digicert.com .
Selecteer in het linkermenu in Azure Portal de optie App Services > <app-name> .
Selecteer in de navigatie links in uw app TLS/SSL-instellingen > Certificaten met een persoonlijke sleutel (.pfx) > Door App Service beheerd certificaat maken.
Selecteer het aangepaste domein waarvoor u een gratis certificaat wilt maken en selecteer Maken. U kunt slechts één certificaat maken voor elk ondersteund aangepast domein.
Wanneer de bewerking is voltooid, ziet u het certificaat in de lijst Certificaten met een persoonlijke sleutel.
Belangrijk
Als u een aangepast domein met dit certificaat wilt beveiligen, moet u nog wel een certificaatbinding maken. Volg de stappen in Binding maken.
Een App Service-certificaat importeren
Als u een App Service-certificaat aanschaft vanuit Azure, beheert Azure de volgende taken:
- Zorgdragen voor het aankoopproces vanuit GoDaddy.
- Domeinverificatie van het certificaat uitvoeren.
- Het certificaat in Azure Key Vault onderhouden.
- De verlenging van het certificaat (zie Certificaat verlengen) beheren.
- Synchroniseer het certificaat automatisch met de geïmporteerde kopieën in App Service-apps.
Als u een App Service-certificaat wilt kopen, gaat u naar Certificaatorder starten.
Als u al een werkend App Service-certificaat hebt, kunt u het volgende doen:
- Het certificaat importeren in App Service.
- Het certificaat beheren, bijvoorbeeld verlengen, opnieuw versleutelen of exporteren.
Notitie
App Service certificaten worden momenteel niet ondersteund in nationale clouds van Azure.
Certificaatorder starten
Start een App Service-certificaatorder op de pagina voor het maken van een App Service-certificaat.
Gebruik de volgende tabel om u te helpen bij het configureren van het certificaat. Klik op Create als u klaar bent.
| Instelling | Beschrijving |
|---|---|
| Naam | Een beschrijvende naam voor uw App Service-certificaat. |
| Hostnaam van domein zonder voorvoegsel | Geef hier het hoofddomein op. Met het verleende certificaat wordt zowel het hoofddomein als het www-subdomein beveiligd. In het verleende certificaat bevat het veld Algemene naam het hoofddomein en het veld Alternatieve naam voor onderwerp het www-domein. Als u alleen een subdomein wilt beveiligen, geeft u de FQDN van het subdomein hier op (bijvoorbeeld mysubdomain.contoso.com). |
| Abonnement | Het abonnement dat het certificaat bevat. |
| Resourcegroep | De resourcegroep die het certificaat bevat. U kunt bijvoorbeeld een nieuwe resourcegroep gebruiken of dezelfde resourcegroep selecteren als uw App Service-app. |
| Certificaat-SKU | Hiermee wordt het type certificaat bepaald dat moet worden gemaakt. Dit kan een standaardcertificaat of een wildcard-certificaat zijn. |
| Juridische voorwaarden | Klik om te bevestigen dat u akkoord gaat met de juridische voorwaarden. De certificaten worden opgehaald vanuit GoDaddy. |
Notitie
App Service-certificaten die zijn aangeschaft vanuit Azure, worden uitgegeven door GoDaddy. Voor sommige domeinen moet u GoDaddy expliciet toestaan als certificaatverkender door een CAA-domeinrecord te maken met de waarde : 0 issue godaddy.com
Opslaan in Azure Key Vault
Nadat het certificaat is gekocht, zijn er nog enkele stappen die u moet voltooien voordat u dit certificaat kunt gebruiken.
Selecteer het certificaat op de pagina App Service-certificaten en klik vervolgens op Certificaatconfiguratie > Stap 1: opslaan.
Key Vault is een Azure-service waarmee u cryptografische sleutels en geheimen kunt beveiligen die door cloudtoepassingen en -services worden gebruikt. Het is de voorkeursopslagplaats voor App Service-certificaten.
Klik op de pagina Key Vault-status op Key Vault-opslagplaats om een nieuwe kluis te maken of een bestaande kluis te kiezen. Als u ervoor kiest om een nieuwe kluis te maken, gebruikt u de volgende tabel voor het configureren van de kluis en klikt u op Maken. Maak de nieuwe Key Vault binnen hetzelfde abonnement en dezelfde resourcegroep als uw App Service-app.
| Instelling | Beschrijving |
|---|---|
| Naam | Een unieke naam die bestaat uit alfanumerieke tekens en afbreekstreepjes. |
| Resourcegroep | U wordt aangeraden dezelfde resourcegroep te selecteren als uw App Service-certificaat. |
| Locatie | Selecteer dezelfde locatie als uw App Service-app. |
| Prijscategorie | Zie Prijzen van Azure Key Vault voor meer informatie. |
| Toegangsbeleid | Hiermee worden de toepassingen en de toegestane toegang tot de kluisresources gedefinieerd. U kunt dit later configureren door de stappen te volgen in Een Key Vault-toegangsbeleid toewijzen. |
| Toegang tot virtueel netwerk | Beperk de toegang tot de kluis tot bepaalde virtuele Azure-netwerken. U kunt de toegang later configureren door de stappen bij Azure Key Vault-firewalls en virtuele netwerken configureren te volgen |
Nadat u de kluis hebt geselecteerd, sluit u de pagina Key Vault-opslagplaats. Bij de optie Stap 1: opslaan wordt met het groene vinkje aangegeven dat er geen problemen zijn. Houd de pagina geopend voor de volgende stap.
Notitie
Momenteel ondersteunt App Service Certificate alleen Key Vault toegangsbeleid, maar niet het RBAC-model.
Domeineigendom controleren
Klik op dezelfde pagina Certificaatconfiguratie die u in de laatste stap hebt gebruikt, op Stap 2: controleren.
Selecteer App Service-verificatie. Omdat u het domein al aan uw web-app hebt toegewezen (zie Vereisten), is het al gecontroleerd. U hoeft alleen maar op Verifiëren te klikken om deze stap te voltooien. Klik op de knop Vernieuwen totdat het bericht Het domein van het certificaat is bevestigd wordt weergegeven.
Belangrijk
Voor een Standaardcertificaat geeft de certificaatprovider u een certificaat voor het aangevraagde domein op het hoogste niveau en het www subdomein (bijvoorbeeld contoso.com en www.contoso.com ). Vanaf 1 december 2021 wordt er echter een beperking geïntroduceerd voor de App Service en de handmatige verificatiemethoden. Beide gebruiken verificatie van HTML-pagina's om het eigendom van het domein te verifiëren. Met deze methode mag de certificaatprovider het subdomein niet meer opnemen bij het uitgeven, opnieuw www versleutelen of vernieuwen van een certificaat.
De verificatiemethoden Domein en E-mail blijven het subdomein met het aangevraagde www domein op het hoogste niveau in het certificaat opnemen.
Notitie
Er worden vier typen methoden voor domeinverificatie ondersteund:
- App Service: de handigste optie wanneer het domein al is toegewezen aan een App Service-app in hetzelfde abonnement. Het maakt gebruik van het feit dat de App Service app het domeineigendom al heeft geverifieerd (zie de vorige opmerking).
- Domein: verifieer een App Service-domein dat u hebt gekocht in Azure. De TXT-record voor de verificatie wordt automatisch voor u toegevoegd en het proces wordt voltooid.
- E-mail: verifieer het domein door een e-mailbericht naar de domeinbeheerder te verzenden. Er worden instructies weergegeven wanneer u de optie selecteert.
- Handmatig: controleer het domein met behulp van een HTML-pagina (alleen standaardcertificaat, zie vorige opmerking) of een DNS TXT-record. Er worden instructies weergegeven wanneer u de optie selecteert. De optie HTML-pagina werkt niet voor web-apps met 'Alleen HTTPS' ingeschakeld.
Certificaat in App Service importeren
Selecteer in het linkermenu in Azure Portal de optie App Services > <app-name> .
Selecteer in de navigatie links in uw app TLS/SSL-instellingen > Certificaten met een persoonlijke sleutel (.pfx) > App Service-certificaat importeren.
Selecteer het certificaat dat u zojuist hebt gekocht en selecteer OK.
Wanneer de bewerking is voltooid, ziet u het certificaat in de lijst Certificaten met een persoonlijke sleutel.
Belangrijk
Als u een aangepast domein met dit certificaat wilt beveiligen, moet u nog wel een certificaatbinding maken. Volg de stappen in Binding maken.
Een certificaat uit Key Vault importeren
Als u Azure Key Vault gebruikt om uw certificaten te beheren, kunt u een PKCS12-certificaat vanuit Key Vault in App Service importeren mits het voldoet aan de vereisten.
App Service machtigen voor leestoegang tot de kluis
Standaard heeft de App Service-resourceprovider geen toegang tot Key Vault. Als u Key Vault voor een certificaatimplementatie wilt gebruiken, moet u de resourceprovider machtigen voor leestoegang tot Key Vault.
abfa0a7c-a6b6-4736-8310-5855508787cd is de naam van de service-principal voor de App Service-resourceprovider. Deze is hetzelfde voor alle Azure-abonnementen. Voor een Azure Government-cloudomgeving moet u 6a02c803-dafd-4136-b4c3-5a6f318b4714 gebruiken als naam van de service-principal voor de resourceprovider.
Notitie
Momenteel ondersteunt Key Vault certificaat alleen Key Vault toegangsbeleid, maar niet het RBAC-model.
Een certificaat uit uw kluis importeren in uw app
Selecteer in het linkermenu in Azure Portal de optie App Services > <app-name> .
Selecteer in de navigatie links in uw app TLS/SSL-instellingen > Certificaten met een persoonlijke sleutel (.pfx) > Key Vault-certificaat importeren.
Gebruik de volgende tabel om u te helpen bij het selecteren van het certificaat.
| Instelling | Beschrijving |
|---|---|
| Abonnement | Het abonnement waarvan de sleutelkluis deel uitmaakt. |
| Key Vault | De kluis met het certificaat dat u wilt importeren. |
| Certificaat | Selecteer in de lijst met PKCS12-certificaten in de kluis. Alle PKCS12-certificaten in de kluis worden weergegeven met hun vingerafdrukken, maar niet alle certificaten worden ondersteund in App Service. |
Wanneer de bewerking is voltooid, ziet u het certificaat in de lijst Certificaten met een persoonlijke sleutel. Als het importeren mislukt met een fout, voldoet het certificaat niet aan de vereisten voor App Service.
Notitie
Als u uw certificaat in een Key Vault met een nieuw certificaat, App Service uw certificaat automatisch binnen 24 uur gesynchroniseerd.
Belangrijk
Als u een aangepast domein met dit certificaat wilt beveiligen, moet u nog wel een certificaatbinding maken. Volg de stappen in Binding maken.
Een persoonlijk certificaat uploaden
Nadat u een certificaat van uw certificaatprovider hebt ontvangen, volgt u de stappen in deze sectie om het certificaat gereed te maken voor App Service.
Tussenliggende certificaten samenvoegen
Als uw certificeringsinstantie meerdere certificaten in de certificaatketen geeft, moet u de certificaten in de juiste volgorde samenvoegen.
U doet dit door elk certificaat dat u hebt ontvangen in een teksteditor te openen.
Maak een bestand voor het samengevoegde certificaat met de naam mergedcertificate.crt. Kopieer de inhoud van elk certificaat in dit bestand in een teksteditor. De volgorde van uw certificaten moet de volgorde in de certificaatketen volgen, beginnend met uw certificaat en eindigend met het hoofdcertificaat. Het lijkt op het volgende voorbeeld:
-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----
Certificaat naar PFX exporteren
Exporteer uw samengevoegde TLS/SSL-certificaat met de persoonlijke sleutel die met uw certificaataanvraag is gegenereerd.
Als u de certificaataanvraag met OpenSSL hebt gegenereerd, hebt u een bestand met een persoonlijke sleutel gemaakt. Voer de volgende opdracht uit om uw certificaat naar PFX te exporteren. Vervang de tijdelijke aanduidingen <private-key-file> en <merged-certificate-file> door de paden naar uw persoonlijke sleutel en uw bestand met samengevoegde certificaten.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>
Wanneer u daarom wordt gevraagd, geeft u een wachtwoord voor export op. U gebruikt dit wachtwoord later wanneer u uw TLS/SSL-certificaat naar App Service uploadt.
Als u IIS of Certreq.exe hebt gebruikt voor het genereren van uw certificaataanvraag, installeert u het certificaat op uw lokale computer en exporteert u het certificaat naar PFX.
Certificaat uploaden naar App Service
U bent nu klaar om het certificaat te uploaden naar App Service.
Selecteer in het linkermenu in Azure Portal de optie App Services > <app-name> .
Selecteer in de navigatie links in uw app TLS/SSL-instellingen > Certificaten met een persoonlijke sleutel (.pfx) > Certificaat uploaden.
In PFX-certificaatbestand selecteert u uw PFX-bestand. Typ in Certificaatwachtwoord het wachtwoord dat u hebt gemaakt toen u het PFX-bestand exporteerde. Klik op Uploaden als u klaar bent.
Wanneer de bewerking is voltooid, ziet u het certificaat in de lijst Certificaten met een persoonlijke sleutel.
Belangrijk
Als u een aangepast domein met dit certificaat wilt beveiligen, moet u nog wel een certificaatbinding maken. Volg de stappen in Binding maken.
Een openbaar certificaat uploaden
Openbare certificaten worden ondersteund in de indeling .cer.
Selecteer in het linkermenu in Azure Portal de optie App Services > <app-name> .
Klik in de navigatie links in uw app op TLS/SSL-instellingen > Openbare certificaten (.cer) > Certificaat met een openbare sleutel uploaden.
Typ in Naam een naam voor het certificaat. Selecteer in CER-certificaatbestand uw CER-bestand.
Klik op Uploaden.
Nadat het certificaat is geüpload, kopieert u de vingerafdruk van het certificaat en ziet u Het certificaat toegankelijk maken.
Een verlopend certificaat vernieuwen
Voordat een certificaat verloopt, moet u het vernieuwde certificaat toevoegen aan App Service TLS/SSL-binding bijwerken. Het proces is afhankelijk van het certificaattype. Een certificaat dat is geïmporteerd uit Key Vault,met inbegrip van een App Service-certificaat,wordt bijvoorbeeld elke 24 uur automatisch gesynchroniseerd met App Service en werkt de TLS/SSL-binding bij wanneer u het certificaat vernieuwt. Voor een geüpload certificaatis er geen automatische bindingsupdate. Zie een van de volgende secties, afhankelijk van uw scenario:
- Een geüpload certificaat vernieuwen
- Een certificaat App Service vernieuwen
- Een certificaat vernieuwen dat is geïmporteerd uit Key Vault
Een geüpload certificaat vernieuwen
Als u een verlopend certificaat wilt vervangen, kan de manier waarop u de certificaatbinding bij het nieuwe certificaat bij te werken een nadelige invloed hebben op de gebruikerservaring. Uw binnenkomende IP-adres kan bijvoorbeeld veranderen wanneer u een binding verwijdert, zelfs als die binding op IP is gebaseerd. Dit is vooral belangrijk wanneer u een certificaat vernieuwt dat zich al in een IP-gebaseerde binding bevindt. Volg de volgende stappen om een wijziging in het IP-adres van uw app te voorkomen en downtime voor uw app vanwege HTTPS-fouten te voorkomen:
- Upload het nieuwe certificaat .
- Bind het nieuwe certificaat aan hetzelfde aangepaste domein zonder het bestaande (verlopende) certificaat te verwijderen. Met deze actie wordt de binding vervangen in plaats van de bestaande certificaatbinding te verwijderen.
- Verwijder het bestaande certificaat.
Een certificaat App Service vernieuwen
Notitie
Vanaf 23 september 2021 is voor App Service domeinverificatie elke 395 dagen domeinverificatie vereist.
In tegenstelling App Service Managed Certificate wordt domeinverificatie voor App Service certificaten niet geautomatiseerd. Raadpleeg Eigendom van domein controleren voor meer informatie over het verifiëren van uw App Service certificaat.
Notitie
Voor het vernieuwingsproces moet de bekende service-principal voor App Service over de vereiste machtigingen voor uw sleutelkluis beschikt. Deze machtiging wordt voor u geconfigureerd wanneer u een App Service Certificate via de portal importeert en mag niet worden verwijderd uit uw sleutelkluis.
Als u de instelling voor automatisch verlengen van uw App Service-certificaat op elk moment wilt in- of uitschakelen, selecteert u het certificaat op de pagina App Service-certificaten en klikt u vervolgens op Instellingen automatisch vernieuwen in het linkernavigatievenster. App Service-certificaten hebben standaard een geldigheidsduur van één jaar.
Selecteer Aan of Uit en klik op Opslaan. Certificaten kunnen 31 dagen vóór de vervaldatum automatisch worden vernieuwd als automatische verlenging is ingeschakeld.
Als u het certificaat handmatig wilt verlengen, klikt u op Handmatig verlengen. U kunt aanvragen om uw certificaat 60 dagen vóór de vervaldatum handmatig te verlengen.
Nadat het verlengen is voltooid, klikt u op Synchroniseren. Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.
Notitie
Als u niet op Synchroniseren klikt, App Service uw certificaat automatisch binnen 24 uur gesynchroniseerd.
Een certificaat vernieuwen dat is geïmporteerd uit Key Vault
Zie Renew your Azure Key Vault certificate (Uw Azure Key Vault vernieuwen) als u een certificaat wilt vernieuwen dat u App Service van Key Vault hebt geïmporteerd.
Zodra het certificaat in uw sleutelkluis is vernieuwd, App Service het nieuwe certificaat automatisch gesynchroniseerd en worden alle toepasselijke TLS/SSL-bindingen binnen 24 uur bijgewerkt. Handmatig synchroniseren:
- Ga naar de pagina TLS/SSL-instellingen van uw app.
- Selecteer het geïmporteerde certificaat onder Persoonlijke-sleutelcertificaten.
- Klik op Synchroniseren.
App Service-certificaten beheren
In deze sectie ziet u hoe u een App Service certificaat dat u hebt aangeschaft, beheert.
Zie ook Renew an App Service certificate (Een certificaat App Service vernieuwen)
Certificaat opnieuw versleutelen
Als u denkt dat de persoonlijke sleutel van uw certificaat is gecompromitteerd, kunt u uw certificaat opnieuw versleutelen. Selecteer het certificaat op de pagina App Service-certificaten en selecteer vervolgens Opnieuw versleutelen en synchroniseren in de navigatie links.
Klik op Opnieuw versleutelen om het proces te starten. Dit proces kan 1-10 minuten duren.
Als u het certificaat opnieuw versleutelt, wordt het certificaat gedistribueerd met een nieuw certificaat dat is verleend door de certificeringsinstantie.
Mogelijk moet u het domeineigendom opnieuw verifiëren.
Nadat het opnieuw versleutelen is voltooid, klikt u op Synchroniseren. Met de synchronisatiebewerking worden de hostname-bindingen voor het certificaat in App Service automatisch bijgewerkt zonder dat er downtime voor uw apps wordt veroorzaakt.
Notitie
Als u niet op Synchroniseren klikt, App Service uw certificaat automatisch binnen 24 uur gesynchroniseerd.
Certificaat exporteren
Omdat een App Service-certificaat een Key Vault-geheim is, kunt u een PFX-kopie ervan exporteren en deze gebruiken voor andere Azure-services of buiten Azure.
Als u het App Service-certificaat als een PFX-bestand wilt exporteren, voert u de volgende opdrachten uit in Cloud Shell. U kunt deze ook lokaal uitvoeren als u Azure CLI hebt geïnstalleerd. Vervang de tijdelijke aanduidingen door de namen die u bij het maken van het App Service certificaat hebt gebruikt.
secretname=$(az resource show \
--resource-group <group-name> \
--resource-type "Microsoft.CertificateRegistration/certificateOrders" \
--name <app-service-cert-name> \
--query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
--output tsv)
az keyvault secret download \
--file appservicecertificate.pfx \
--vault-name <key-vault-name> \
--name $secretname \
--encoding base64
Het gedownloade appservicecertificate.pfx-bestand is een onbewerkt PKCS12-bestand met zowel de openbare als persoonlijke certificaten. In elke prompt gebruikt u een lege tekenreeks voor het importwachtwoord en de PEM-wachtwoordzin.
Certificaat verwijderen
Het verwijderen van een App Service-certificaat is definitief en onomkeerbaar. Als een App Service Certificate-resource wordt verwijderd, wordt het certificaat ingetrokken. Elke binding in App Service met dit certificaat wordt ongeldig. Azure plaatst een vergrendeling op het certificaat om onbedoelde verwijdering te voorkomen. Als u een App Service-certificaat wilt verwijderen, moet u eerst de vergrendeling op het certificaat verwijderen.
Selecteer het certificaat op de pagina App Service-certificaten en selecteer vervolgens Vergrendelingen in de navigatie links.
Zoek de vergrendeling van het certificaat met het vergrendelingstype Verwijderen. Selecteer rechts hiervan Verwijderen.
U kunt nu het App Service-certificaat verwijderen. Selecteer Overzicht > Verwijderen in de navigatie links. Typ in het bevestigingsvenster de naam van het certificaat en selecteer OK.
Automatiseren met scripts
Azure CLI
#!/bin/bash
fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM
# Create a resource group.
az group create --location westeurope --name $resourceGroup
# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1
# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname
echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."
# Before continuing, go to your DNS configuration UI for your custom domain and follow the
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the
# hostname "www" and point it your web app's default domain name.
# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn
# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)
# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup
echo "You can now browse to https://$fqdn"
PowerShell
$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"
# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location
# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free
# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname
Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."
# Before continuing, go to your DNS configuration UI for your custom domain and follow the
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the
# hostname "www" and point it your web app's default domain name.
# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic
# Add a custom domain name to the web app.
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")
# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled