Dodawanie certyfikatu TSL/SSL w usłudze Azure App ServiceAdd a TLS/SSL certificate in Azure App Service

Azure App Service zapewnia wysoce skalowalną, samoobsługową usługę hostingu w sieci Web.Azure App Service provides a highly scalable, self-patching web hosting service. W tym artykule pokazano, jak utworzyć, przekazać lub zaimportować certyfikat prywatny lub certyfikat publiczny do App Service.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Po dodaniu certyfikatu do aplikacji App Service lub aplikacji funkcjimożna zabezpieczyć niestandardową nazwę DNS lub użyć jej w kodzie aplikacji.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

Poniższa tabela zawiera listę opcji związanych z dodawaniem certyfikatów w App Service:The following table lists the options you have for adding certificates in App Service:

OpcjaOption OpisDescription
Utwórz bezpłatny certyfikat zarządzany App Service (wersja zapoznawcza)Create a free App Service Managed Certificate (Preview) Prywatny certyfikat, którego można łatwo użyć, jeśli musisz tylko zabezpieczyć www domenę niestandardową lub dowolną domenę wykorzystaną w App Service.A private certificate that's easy to use if you just need to secure your www custom domain or any non-naked domain in App Service.
Zakup certyfikatu App ServicePurchase an App Service certificate Prywatny certyfikat zarządzany przez platformę Azure.A private certificate that's managed by Azure. Łączy ona prostotę zautomatyzowanego zarządzania certyfikatami i elastyczność opcji odnawiania i eksportowania.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importuj certyfikat z Key VaultImport a certificate from Key Vault Przydatne w przypadku używania Azure Key Vault do zarządzania certyfikatami PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Zobacz wymagania dotyczące certyfikatu prywatnego.See Private certificate requirements.
Przekaż certyfikat prywatnyUpload a private certificate Jeśli masz już certyfikat prywatny od innego dostawcy, możesz go przekazać.If you already have a private certificate from a third-party provider, you can upload it. Zobacz wymagania dotyczące certyfikatu prywatnego.See Private certificate requirements.
Przekaż certyfikat publicznyUpload a public certificate Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można je ładować do kodu, jeśli chcesz uzyskać dostęp do zdalnych zasobów.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

Wymagania wstępnePrerequisites

Aby wykonać następujące czynności:To follow this how-to guide:

Wymagania dotyczące certyfikatu prywatnegoPrivate certificate requirements

Uwaga

Usługa Azure Web Apps nie obsługuje AES256 , a wszystkie pliki PFX powinny być szyfrowane za pomocą usługi TripleDES.Azure Web Apps does not support AES256 and all pfx files should be encrypted with TripleDES.

Bezpłatny App Service certyfikat zarządzany lub certyfikat App Service już spełnia wymagania App Service.The free App Service Managed Certificate or the App Service certificate already satisfy the requirements of App Service. Jeśli zdecydujesz się przekazać lub zaimportować certyfikat prywatny do App Service, certyfikat musi spełniać następujące wymagania:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Eksportowany jako chroniony hasłem plik PFXExported as a password-protected PFX file
  • Zawiera klucz prywatny o długości co najmniej 2048 bitówContains private key at least 2048 bits long
  • Zawiera wszystkie certyfikaty pośrednie w łańcuchu certyfikatówContains all intermediate certificates in the certificate chain

Aby zabezpieczyć domenę niestandardową w ramach powiązania TLS, certyfikat ma dodatkowe wymagania:To secure a custom domain in a TLS binding, the certificate has additional requirements:

  • Zawiera rozszerzone użycie klucza uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Podpisany przez zaufany urząd certyfikacjiSigned by a trusted certificate authority

Uwaga

Certyfikaty kryptografii opartej na krzywej eliptycznej (ECC, Elliptic Curve Cryptography) mogą współpracować z usługą App Service, ale nie są uwzględnione w tym artykule.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Skontaktuj się ze swoim urzędem certyfikacji, aby uzyskać informacje o dokładnych krokach, które należy wykonać w celu utworzenia certyfikatów ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Przygotowywanie aplikacji internetowejPrepare your web app

Aby utworzyć niestandardowe powiązania zabezpieczeń lub włączyć certyfikaty klienta dla aplikacji App Service, plan App Service musi znajdować się w warstwie podstawowa, standardowa, Premiumlub izolowana .To create custom security bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. W tym kroku musisz się upewnić, że Twoja aplikacja internetowa jest w obsługiwanej warstwie cenowej.In this step, you make sure that your web app is in the supported pricing tier.

Logowanie do platformy AzureSign in to Azure

Otwórz witrynę Azure Portal.Open the Azure portal.

Wyszukaj i wybierz App Services.Search for and select App Services.

Wybierz App Services

Na stronie App Services wybierz nazwę aplikacji sieci Web.On the App Services page, select the name of your web app.

Zrzut ekranu strony App Services w Azure Portal przedstawiający listę wszystkich uruchomionych aplikacji sieci Web, z pierwszą aplikacją na liście wyróżnioną.

Na stronie Zarządzanie aplikacji sieci Web.You have landed on the management page of your web app.

Sprawdzanie warstwy cenowejCheck the pricing tier

W lewym obszarze nawigacji na stronie Twojej aplikacji internetowej przewiń do sekcji Ustawienia i wybierz pozycję Skaluj w górę (plan usługi App Service).In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu skalowania w górę

Upewnij się, że Twoja aplikacja internetowa nie znajduje się w warstwie F1 ani D1.Check to make sure that your web app is not in the F1 or D1 tier. Bieżąca warstwa Twojej aplikacji internetowej jest wyróżniona ciemnoniebieskim polem.Your web app's current tier is highlighted by a dark blue box.

Sprawdzanie warstwy cenowej

Niestandardowy protokół SSL nie jest obsługiwany w warstwie F1 ani D1.Custom SSL is not supported in the F1 or D1 tier. Jeśli musisz skalować w górę, wykonaj kroki opisane w następnej sekcji.If you need to scale up, follow the steps in the next section. W przeciwnym razie zamknij stronę Skalowanie w górę i przejdź do sekcji Skalowanie w górę planu usługi App Service.Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Skalowanie w górę planu usługi App ServiceScale up your App Service plan

Wybierz jedną z płatnych warstw (B1, B2, B3 lub dowolną warstwę z kategorii Produkcja).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Aby uzyskać dodatkowe opcje, kliknij pozycję Wyświetl dodatkowe opcje.For additional options, click See additional options.

Kliknij pozycję Zastosuj.Click Apply.

Wybieranie warstwy cenowej

Wyświetlenie następującego powiadomienia oznacza zakończenie operacji skalowania.When you see the following notification, the scale operation is complete.

Powiadomienie o skalowaniu w górę

Utwórz bezpłatny certyfikat (wersja zapoznawcza)Create a free certificate (Preview)

Bezpłatny App Service certyfikat zarządzany to rozwiązanie, które umożliwia Zabezpieczanie niestandardowej nazwy DNS w programie App Service.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. Jest to w pełni funkcjonalny certyfikat TLS/SSL, który jest zarządzany przez App Service i odnawiany automatycznie.It's a fully functional TLS/SSL certificate that's managed by App Service and renewed automatically. Bezpłatny certyfikat obejmuje następujące ograniczenia:The free certificate comes with the following limitations:

  • Nie obsługuje certyfikatów symboli wieloznacznych.Does not support wildcard certificates.
  • Nie obsługuje domen niedozwolonych.Does not support naked domains.
  • Nie jest możliwy do eksportu.Is not exportable.
  • Nie jest obsługiwane w App Service Environment (ASE)Is not supported on App Service Environment (ASE)
  • Nie obsługuje rekordów.Does not support A records. Na przykład automatyczne odnawianie nie działa z rekordami.For example, automatic renewal doesn't work with A records.

Uwaga

Bezpłatny certyfikat jest wystawiany przez DigiCert.The free certificate is issued by DigiCert. W przypadku niektórych domen najwyższego poziomu należy jawnie zezwolić DigiCert jako wystawcy certyfikatu przez utworzenie rekordu domeny CAA o wartości: 0 issue digicert.com .For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

Aby utworzyć bezpłatny App Service certyfikat zarządzany:To create a free App Service Managed Certificate:

W Azure Portalz menu po lewej stronie wybierz pozycję App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

W lewym panelu nawigacyjnym aplikacji wybierz pozycję Ustawienia protokołu TLS/SSL > certyfikaty kluczy prywatnych (pfx) > Utwórz App Service certyfikat zarządzany.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Utwórz bezpłatny certyfikat w App Service

W oknie dialogowym zostanie wyświetlona dowolna wykorzystana domena, która jest prawidłowo mapowana do aplikacji przy użyciu rekordu CNAME.Any non-naked domain that's properly mapped to your app with a CNAME record is listed in the dialog. Wybierz domenę niestandardową, aby utworzyć bezpłatny certyfikat, a następnie wybierz pozycję Utwórz.Select the custom domain to create a free certificate for and select Create. Dla każdej obsługiwanej domeny niestandardowej można utworzyć tylko jeden certyfikat.You can create only one certificate for each supported custom domain.

Po zakończeniu operacji zobaczysz certyfikat na liście Certyfikaty klucza prywatnego .When the operation completes, you see the certificate in the Private Key Certificates list.

Ukończono tworzenie bezpłatnego certyfikatu

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w temacie Tworzenie powiązania.Follow the steps in Create binding.

Importuj Certyfikat usługi App ServiceImport an App Service Certificate

Jeśli kupisz Certyfikat usługi App Service z platformy Azure, platforma Azure zarządza następującymi zadaniami:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Należy zwrócić uwagę na proces zakupu od GoDaddy.Takes care of the purchase process from GoDaddy.
  • Wykonuje weryfikację domeny dla certyfikatu.Performs domain verification of the certificate.
  • Utrzymuje certyfikat w Azure Key Vault.Maintains the certificate in Azure Key Vault.
  • Zarządza odnowieniem certyfikatu (zobacz odnów certyfikat).Manages certificate renewal (see Renew certificate).
  • Automatycznie Synchronizuj certyfikat z zaimportowanymi kopiami w aplikacjach App Service.Synchronize the certificate automatically with the imported copies in App Service apps.

Aby kupić certyfikat App Service, przejdź do pozycji Rozpocznij kolejność certyfikatów.To purchase an App Service certificate, go to Start certificate order.

Jeśli masz już działającą App Service certyfikat, możesz:If you already have a working App Service certificate, you can:

Uruchom kolejność certyfikatówStart certificate order

Uruchom App Service kolejność certyfikatów na stronie tworzenie certyfikat usługi App Service.Start an App Service certificate order in the App Service Certificate create page.

Rozpocznij App Service zakupu certyfikatu

Skorzystaj z poniższej tabeli, aby skonfigurować certyfikat.Use the following table to help you configure the certificate. Po zakończeniu kliknij pozycję Gotowe.When finished, click Create.

UstawienieSetting OpisDescription
NazwaName Przyjazna nazwa certyfikatu App Service.A friendly name for your App Service certificate.
Nazwa hosta z wydaną domenąNaked Domain Host Name W tym miejscu określ domenę główną.Specify the root domain here. Wystawiony certyfikat zabezpiecza zarówno domenę główną, jak i www poddomenę.The issued certificate secures both the root domain and the www subdomain. W wystawionym certyfikacie pole Common Name (nazwa pospolita) zawiera domenę główną, a pole Alternatywna nazwa podmiotu zawiera www domenę.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Aby zabezpieczyć tylko każdą poddomenę, określ w pełni kwalifikowaną nazwę domeny podrzędnej domeny (na przykład mysubdomain.contoso.com ).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubskrypcjaSubscription Subskrypcja, która będzie zawierać certyfikat.The subscription that will contain the certificate.
Grupa zasobówResource group Grupa zasobów, która będzie zawierać certyfikat.The resource group that will contain the certificate. Możesz na przykład użyć nowej grupy zasobów lub wybrać tę samą grupę zasobów co App Service aplikacji.You can use a new resource group or select the same resource group as your App Service app, for example.
Jednostka SKU certyfikatuCertificate SKU Określa typ certyfikatu do utworzenia, czy certyfikat standardowy czy certyfikat wieloznaczny.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Postanowienia prawneLegal Terms Kliknij, aby potwierdzić, że zgadzasz się z postanowieniami prawnymi.Click to confirm that you agree with the legal terms. Certyfikaty są uzyskiwane z GoDaddy.The certificates are obtained from GoDaddy.

Uwaga

App Service certyfikaty zakupione na platformie Azure są wystawiane przez GoDaddy.App Service Certificates purchased from Azure are issued by GoDaddy. W przypadku niektórych domen najwyższego poziomu należy jawnie zezwolić GoDaddy jako wystawcy certyfikatu przez utworzenie rekordu domeny CAA z wartością: 0 issue godaddy.comFor some top-level domains, you must explicitly allow GoDaddy as a certificate issuer by creating a CAA domain record with the value: 0 issue godaddy.com

Przechowywanie w Azure Key VaultStore in Azure Key Vault

Po zakończeniu procesu zakupu certyfikatu należy wykonać kilka dodatkowych kroków, aby można było rozpocząć korzystanie z tego certyfikatu.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Na stronie Certyfikaty App Service wybierz certyfikat, a następnie kliknij pozycję Konfiguracja certyfikatu > krok 1: Magazyn.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Konfigurowanie Key Vault magazynu certyfikatu App Service

Key Vault to usługa platformy Azure, która pomaga chronić klucze kryptograficzne i wpisy tajne używane przez aplikacje i usługi w chmurze.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. Jest to magazyn wybrany dla App Service certyfikatów.It's the storage of choice for App Service certificates.

Na stronie stan Key Vault kliknij pozycję Key Vault repozytorium , aby utworzyć nowy magazyn, lub wybierz istniejący magazyn.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Jeśli zdecydujesz się utworzyć nowy magazyn, Skorzystaj z poniższej tabeli, aby skonfigurować magazyn, a następnie kliknij przycisk Utwórz.If you choose to create a new vault, use the following table to help you configure the vault and click Create. Utwórz nowy Key Vault w ramach tej samej subskrypcji i grupy zasobów co aplikacja App Service.Create the new Key Vault inside the same subscription and resource group as your App Service app.

UstawienieSetting OpisDescription
NazwaName Unikatowa nazwa, która składa się z znaków alfanumerycznych i kresek.A unique name that consists for alphanumeric characters and dashes.
Grupa zasobówResource group Zgodnie z zaleceniem wybierz tę samą grupę zasobów co certyfikat App Service.As a recommendation, select the same resource group as your App Service certificate.
LokalizacjaLocation Wybierz tę samą lokalizację, w której znajduje się aplikacja App Service.Select the same location as your App Service app.
Warstwa cenowaPricing tier Aby uzyskać więcej informacji, zobacz Azure Key Vault szczegóły cennika.For information, see Azure Key Vault pricing details.
Zasady dostępuAccess policies Definiuje aplikacje i dozwolony dostęp do zasobów magazynu.Defines the applications and the allowed access to the vault resources. Można ją później skonfigurować, wykonując czynności opisane w sekcji przypisywanie zasad dostępu Key Vault.You can configure it later, following the steps at Assign a Key Vault access policy.
Dostęp Virtual NetworkVirtual Network Access Ogranicz dostęp do magazynu do określonych sieci wirtualnych platformy Azure.Restrict vault access to certain Azure virtual networks. Można skonfigurować ją później, wykonując czynności opisane w sekcji konfigurowanie Azure Key Vault zapór i sieci wirtualnychYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Po wybraniu magazynu zamknij stronę repozytorium Key Vault .Once you've selected the vault, close the Key Vault Repository page. Opcja " krok 1: Magazyn " powinna zawierać zielony znacznik wyboru dla sukcesu.The Step 1: Store option should show a green check mark for success. Pozostaw otwartą stronę w następnym kroku.Keep the page open for the next step.

Weryfikuj własność domenyVerify domain ownership

Na tej samej stronie konfiguracji certyfikatu , która została użyta w ostatnim kroku, kliknij pozycję krok 2. Weryfikacja.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Weryfikuj domenę dla App Service certyfikat

Wybierz App Service weryfikację.Select App Service Verification. Ponieważ domena została już zmapowana do aplikacji sieci Web (zobacz wymagania wstępne), została już sprawdzona.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Po prostu kliknij przycisk Weryfikuj , aby zakończyć ten krok.Just click Verify to finish this step. Kliknij przycisk Odśwież , dopóki nie zostanie wyświetlona zweryfikowana domena certyfikatu .Click the Refresh button until the message Certificate is Domain Verified appears.

Uwaga

Obsługiwane są cztery typy metod weryfikacji domeny:Four types of domain verification methods are supported:

  • App Service — najbardziej wygodna opcja, gdy domena została już zmapowana do aplikacji App Service w ramach tej samej subskrypcji.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Wykorzystuje fakt, że aplikacja App Servicea już zweryfikowała własność domeny.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Domena — sprawdź domenę App Service zakupionej na platformie Azure.Domain - Verify an App Service domain that you purchased from Azure. Platforma Azure automatycznie dodaje rekord TXT weryfikacji dla Ciebie i kończy proces.Azure automatically adds the verification TXT record for you and completes the process.
  • Poczta — Sprawdź domenę, wysyłając wiadomość e-mail do administratora domeny.Mail - Verify the domain by sending an email to the domain administrator. Instrukcje są dostępne po wybraniu opcji.Instructions are provided when you select the option.
  • Ręcznie — Sprawdź domenę, używając strony HTML (tylko certyfikatStandardowy ) lub rekordu TXT DNS.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. Instrukcje są dostępne po wybraniu opcji.Instructions are provided when you select the option.

Importuj certyfikat do App ServiceImport certificate into App Service

W Azure Portalz menu po lewej stronie wybierz pozycję App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

W lewym panelu nawigacyjnym aplikacji wybierz pozycję Ustawienia protokołu TLS/SSL > Certyfikaty klucza prywatnego (pfx) > certyfikat usługi App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importuj certyfikat App Service w programie App Service

Wybierz certyfikat, który został właśnie zakupiony, i wybierz pozycję OK.Select the certificate that you just purchased and select OK.

Po zakończeniu operacji zobaczysz certyfikat na liście Certyfikaty klucza prywatnego .When the operation completes, you see the certificate in the Private Key Certificates list.

Zakończono Importowanie certyfikatu App Service

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w temacie Tworzenie powiązania.Follow the steps in Create binding.

Importuj certyfikat z Key VaultImport a certificate from Key Vault

Jeśli używasz Azure Key Vault do zarządzania certyfikatami, możesz zaimportować certyfikat PKCS12 z Key Vault do App Service o ile spełnia wymagania.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

Autoryzuj App Service do odczytu z magazynuAuthorize App Service to read from the vault

Domyślnie dostawca zasobów App Service nie ma dostępu do Key Vault.By default, the App Service resource provider doesn’t have access to the Key Vault. Aby można było użyć Key Vault do wdrożenia certyfikatu, należy autoryzować dostawcę zasobów dostępu do odczytu do magazynukluczy.In order to use a Key Vault for a certificate deployment, you need to authorize the resource provider read access to the KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd jest główną nazwą usługi dostawcy zasobów dla App Service i jest taka sama dla wszystkich subskrypcji platformy Azure.abfa0a7c-a6b6-4736-8310-5855508787cd is the resource provider service principal name for App Service, and it's the same for all Azure subscriptions. W przypadku Azure Government środowiska chmury Użyj 6a02c803-dafd-4136-b4c3-5a6f318b4714 zamiast tego jako nazwy głównej usługi dostawcy zasobów.For Azure Government cloud environment, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 instead as the resource provider service principal name.

Importowanie certyfikatu z magazynu do aplikacjiImport a certificate from your vault to your app

W Azure Portalz menu po lewej stronie wybierz pozycję App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

W lewym panelu nawigacyjnym aplikacji wybierz pozycję Ustawienia protokołu TLS/SSL > certyfikaty kluczy prywatnych (pfx) > Importuj Key Vault certyfikat.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importuj certyfikat Key Vault w programie App Service

Skorzystaj z poniższej tabeli, aby wybrać certyfikat.Use the following table to help you select the certificate.

UstawienieSetting OpisDescription
SubskrypcjaSubscription Subskrypcja, do której należy Key Vault.The subscription that the Key Vault belongs to.
Key VaultKey Vault Magazyn z certyfikatem, który ma zostać zaimportowany.The vault with the certificate you want to import.
CertyfikatCertificate Wybierz z listy PKCS12 certyfikatów w magazynie.Select from the list of PKCS12 certificates in the vault. Wszystkie certyfikaty PKCS12 w magazynie są wyświetlane z odciskiem palca, ale nie wszystkie są obsługiwane w App Service.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Po zakończeniu operacji zobaczysz certyfikat na liście Certyfikaty klucza prywatnego .When the operation completes, you see the certificate in the Private Key Certificates list. Jeśli importowanie nie powiedzie się z powodu błędu, certyfikat nie spełnia wymagań dotyczących App Service.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Zakończono Importowanie certyfikatu Key Vault

Uwaga

Jeśli certyfikat zostanie zaktualizowany w Key Vault przy użyciu nowego certyfikatu, App Service automatycznie zsynchronizuje certyfikat w ciągu 48 godzin.If you update your certificate in Key Vault with a new certificate, App Service automatically syncs your certificate within 48 hours.

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w temacie Tworzenie powiązania.Follow the steps in Create binding.

Przekaż certyfikat prywatnyUpload a private certificate

Po uzyskaniu certyfikatu od dostawcy certyfikatów wykonaj kroki opisane w tej sekcji, aby przygotować go do App Service.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Scalanie certyfikatów pośrednichMerge intermediate certificates

Jeśli Twój urząd certyfikacji dał Ci wiele certyfikatów w łańcuchu certyfikatów, musisz kolejno scalić certyfikaty.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Aby to zrobić, otwórz każdy otrzymany certyfikat w edytorze tekstów.To do this, open each certificate you received in a text editor.

Utwórz plik scalonego certyfikatu o nazwie mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. W edytorze tekstów skopiuj zawartość każdego certyfikatu do tego pliku.In a text editor, copy the content of each certificate into this file. Kolejność certyfikatów powinna być zgodna z kolejnością w łańcuchu certyfikatów, poczynając od Twojego certyfikatu i kończąc na certyfikacie głównym.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. Wygląda to następująco:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Eksportowanie certyfikatu do pliku PFXExport certificate to PFX

Wyeksportuj scalony certyfikat TLS/SSL z kluczem prywatnym, za pomocą którego zostało wygenerowane żądanie certyfikatu.Export your merged TLS/SSL certificate with the private key that your certificate request was generated with.

Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, został utworzony plik klucza prywatnego.If you generated your certificate request using OpenSSL, then you have created a private key file. Aby wyeksportować certyfikat do pliku PFX, uruchom następujące polecenie.To export your certificate to PFX, run the following command. Zastąp symbole zastępcze _ < pliku prywatnego-Key>_ i _ < scalonego pliku certyfikatu>_ ze ścieżkami do klucza prywatnego i scalonym plikiem certyfikatu.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Po wyświetleniu monitu określ hasło eksportu.When prompted, define an export password. To hasło będzie używane podczas przekazywania certyfikatu TLS/SSL do App Service później.You'll use this password when uploading your TLS/SSL certificate to App Service later.

Jeśli używasz usług IIS lub programu Certreq.exe do wygenerowania swojego żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Przekaż certyfikat do App ServiceUpload certificate to App Service

Teraz możesz przekazać certyfikat do App Service.You're now ready upload the certificate to App Service.

W Azure Portalz menu po lewej stronie wybierz pozycję App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

W lewym panelu nawigacyjnym aplikacji wybierz pozycję Ustawienia protokołu TLS/SSL— > certyfikat przekazywaniacertyfikatów klucza prywatnego (pfx) > Upload Certificate.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Przekaż certyfikat prywatny w App Service

W pozycji Plik PFX certyfikatu wybierz swój plik PFX.In PFX Certificate File, select your PFX file. W polu Hasło certyfikatu wpisz hasło, które zostało utworzone podczas eksportowania pliku PFX.In Certificate password, type the password that you created when you exported the PFX file. Po zakończeniu kliknij przycisk Przekaż.When finished, click Upload.

Po zakończeniu operacji zobaczysz certyfikat na liście Certyfikaty klucza prywatnego .When the operation completes, you see the certificate in the Private Key Certificates list.

Zakończono przekazywanie certyfikatu

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal trzeba utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w temacie Tworzenie powiązania.Follow the steps in Create binding.

Przekaż certyfikat publicznyUpload a public certificate

Certyfikaty publiczne są obsługiwane w formacie CER .Public certificates are supported in the .cer format.

W Azure Portalz menu po lewej stronie wybierz pozycję App Services > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

W lewym panelu nawigacyjnym aplikacji kliknij pozycję Ustawienia TLS/SSL > Certyfikaty publiczne (CER) > Przekaż certyfikat klucza publicznego.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

W polu Nazwawpisz nazwę certyfikatu.In Name, type a name for the certificate. W polu plik certyfikatu CERwybierz plik CER.In CER Certificate file, select your CER file.

Kliknij pozycję Przekaż.Click Upload.

Przekaż certyfikat publiczny w App Service

Po przekazaniu certyfikatu Skopiuj odcisk palca certyfikatu i sprawdź, czy certyfikat jest dostępny.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Zarządzanie certyfikatami App ServiceManage App Service certificates

W tej sekcji przedstawiono sposób zarządzania certyfikatem App Service zakupionego w ramach importowania certyfikatu App Service.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Certyfikat ponownego tworzenia kluczyRekey certificate

Jeśli uważasz, że zabezpieczenia klucza prywatnego certyfikatu zostały naruszone, możesz naruszyć certyfikat.If you think your certificate's private key is compromised, you can rekey your certificate. Na stronie certyfikaty App Service wybierz certyfikat, a następnie wybierz pozycję Wymień i zsynchronizuj po lewej stronie nawigacyjnej.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Kliknij pozycję wykluczaj, aby uruchomić proces.Click Rekey to start the process. Ten proces może potrwać 1-10 minut.This process can take 1-10 minutes to complete.

Ponowne generowanie klucza certyfikatu App Service

Ponowne utworzenie klucza certyfikatu zestawia certyfikat z nowym certyfikatem wystawionym przez urząd certyfikacji.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Po ukończeniu operacji ponownego tworzenia kluczy kliknij pozycję Synchronizuj. Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w App Service bez powodowania przestojów aplikacji.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Uwaga

Jeśli nie klikniesz przycisku Synchronizuj, App Service automatycznie zsynchronizuje certyfikat w ciągu 48 godzin.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Odnów certyfikatRenew certificate

Aby włączyć automatyczne odnawianie certyfikatu w dowolnym momencie, wybierz certyfikat na stronie App Service certyfikaty , a następnie kliknij pozycję Ustawienia automatycznego odnawiania w lewym okienku nawigacji.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Domyślnie certyfikaty App Service mają okres ważności jeden rok.By default, App Service Certificates have a one-year validity period.

Wybierz pozycję włączone , a następnie kliknij pozycję Zapisz.Select On and click Save. Certyfikaty mogą rozpoczynać automatyczne odnawianie 60 dni przed wygaśnięciem, jeśli włączono automatyczne odnawianie.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Odnów certyfikat App Service automatycznie

Aby zamiast tego ręcznie odnowić certyfikat, kliknij pozycję odnowienie ręczne.To manually renew the certificate instead, click Manual Renew. Możesz poprosić o ręczne odnowienie certyfikatu o 60 dni przed wygaśnięciem.You can request to manually renew your certificate 60 days before expiration.

Po zakończeniu operacji odnawiania kliknij pozycję Synchronizuj. Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta dla certyfikatu w App Service bez powodowania przestojów aplikacji.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Uwaga

Jeśli nie klikniesz przycisku Synchronizuj, App Service automatycznie zsynchronizuje certyfikat w ciągu 48 godzin.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Eksportowanie certyfikatuExport certificate

Ponieważ Certyfikat usługi App Service jest Key Vault tajny, można wyeksportować kopię pliku PFX i użyć jej do innych usług platformy Azure lub poza platformą Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Aby wyeksportować Certyfikat usługi App Service jako plik PFX, uruchom następujące polecenia w Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. Można go również uruchomić lokalnie, jeśli zainstalowano interfejs wiersza polecenia platformy Azure.You can also run it locally if you installed Azure CLI. Zastąp symbole zastępcze nazwami użytymi podczas tworzenia certyfikatu App Service.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Pobrany plik appservicecertificate. pfx to pierwotny plik PKCS12, który zawiera certyfikaty publiczne i prywatne.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. W każdym monicie użyj pustego ciągu dla hasła importu i frazy przekazywania PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Usuń certyfikatDelete certificate

Usuwanie certyfikatu App Service jest ostateczne i nieodwracalne.Deletion of an App Service certificate is final and irreversible. Usuwanie Certyfikat usługi App Service zasobów powoduje odwołanie do odwołanego certyfikatu.Deletion of a App Service Certificate resource results in the certificate being revoked. Wszystkie powiązania w App Service z tym certyfikatem staną się nieprawidłowe.Any binding in App Service with this certificate becomes invalid. Aby zapobiec przypadkowemu usunięciu, platforma Azure umieszcza blokadę certyfikatu.To prevent accidental deletion, Azure puts a lock on the certificate. Aby usunąć certyfikat App Service, należy najpierw usunąć blokadę usuwania dla certyfikatu.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Na stronie certyfikaty App Service wybierz certyfikat, a następnie wybierz pozycję blokady w lewym okienku nawigacji.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Znajdź blokadę certyfikatu z typem blokady delete.Find the lock on your certificate with the lock type Delete. Z prawej strony wybierz pozycję Usuń.To the right of it, select Delete.

Usuń blokadę dla certyfikatu App Service

Teraz możesz usunąć certyfikat App Service.Now you can delete the App Service certificate. W lewym okienku nawigacji wybierz pozycję Przegląd > Usuń.From the left navigation, select Overview > Delete. W oknie dialogowym potwierdzenia wpisz nazwę certyfikatu i wybierz przycisk OK.In the confirmation dialog, type the certificate name and select OK.

Automatyzowanie przy użyciu skryptówAutomate with scripts

Interfejs wiersza polecenia platformy AzureAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Dodatkowe zasobyMore resources