Dodawaj certyfikat SSL w usłudze Azure App ServiceAdd an SSL certificate in Azure App Service

Usługa Azure App Service zapewnia wysoce skalowalną, samoładującą się usługę hostingu.Azure App Service provides a highly scalable, self-patching web hosting service. W tym artykule pokazano, jak utworzyć, przekazać lub zaimportować certyfikat prywatny lub certyfikat publiczny do usługi App Service.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Po dodaniu certyfikatu do aplikacji lub aplikacji usługiApp Service można zabezpieczyć niestandardową nazwę DNS lub użyć jej w kodzie aplikacji.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

W poniższej tabeli wymieniono opcje dodawania certyfikatów w usłudze App Service:The following table lists the options you have for adding certificates in App Service:

OpcjaOption OpisDescription
Tworzenie bezpłatnego certyfikatu zarządzanego usługi App Service (wersja zapoznawcza)Create a free App Service Managed Certificate (Preview) Prywatny certyfikat, który jest łatwy w użyciu, www jeśli wystarczy zabezpieczyć domenę niestandardową lub dowolną domenę nienagącą w usłudze App Service.A private certificate that's easy to use if you just need to secure your www custom domain or any non-naked domain in App Service.
Zakup certyfikatu usługi app servicePurchase an App Service certificate Certyfikat prywatny zarządzany przez platformę Azure.A private certificate that's managed by Azure. Łączy w sobie prostotę zautomatyzowanego zarządzania certyfikatami oraz elastyczność opcji odnawiania i eksportowania.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importowanie certyfikatu z magazynu kluczyImport a certificate from Key Vault Przydatne w przypadku korzystania z usługi Azure Key Vault do zarządzania certyfikatami PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Zobacz Wymagania dotyczące certyfikatów prywatnych.See Private certificate requirements.
Przekazywanie certyfikatu prywatnegoUpload a private certificate Jeśli masz już certyfikat prywatny od zewnętrznego dostawcy, możesz go przekazać.If you already have a private certificate from a third-party provider, you can upload it. Zobacz Wymagania dotyczące certyfikatów prywatnych.See Private certificate requirements.
Przekazywanie certyfikatu publicznegoUpload a public certificate Certyfikaty publiczne nie są używane do zabezpieczania domen niestandardowych, ale można załadować je do kodu, jeśli potrzebujesz ich, aby uzyskać dostęp do zasobów zdalnych.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

Wymagania wstępnePrerequisites

Aby postępować zgodnie z tym przewodnikiem:To follow this how-to guide:

Wymagania dotyczące certyfikatów prywatnychPrivate certificate requirements

Uwaga

Usługa Azure Web Apps nie obsługuje usługi AES256, a wszystkie pliki pfx powinny być szyfrowane za pomocą tripledes.Azure Web Apps does not support AES256 and all pfx files should be encrypted with TripleDES.

Bezpłatny certyfikat zarządzany usługi App Service lub certyfikat usługi app service spełniają już wymagania usługi App Service.The free App Service Managed Certificate or the App Service certificate already satisfy the requirements of App Service. Jeśli zdecydujesz się przekazać lub zaimportować certyfikat prywatny do usługi App Service, certyfikat musi spełniać następujące wymagania:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Eksportowany jako chroniony hasłem plik PFXExported as a password-protected PFX file
  • Zawiera klucz prywatny o długości co najmniej 2048 bitówContains private key at least 2048 bits long
  • Zawiera wszystkie certyfikaty pośrednie w łańcuchu certyfikatówContains all intermediate certificates in the certificate chain

Aby zabezpieczyć domenę niestandardową w powiązaniu SSL, certyfikat ma dodatkowe wymagania:To secure a custom domain in an SSL binding, the certificate has additional requirements:

  • Zawiera rozszerzone użycie klucza do uwierzytelniania serwera (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Podpisany przez zaufany urząd certyfikacjiSigned by a trusted certificate authority

Uwaga

Certyfikaty kryptografii opartej na krzywej eliptycznej (ECC, Elliptic Curve Cryptography) mogą współpracować z usługą App Service, ale nie są uwzględnione w tym artykule.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Skontaktuj się ze swoim urzędem certyfikacji, aby uzyskać informacje o dokładnych krokach, które należy wykonać w celu utworzenia certyfikatów ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Przygotowywanie aplikacji internetowejPrepare your web app

Aby utworzyć niestandardowe powiązania zabezpieczeń lub włączyć certyfikaty klienta dla aplikacji Usługi app service, plan usługi app service musi być w warstwie Podstawowa, Standardowa, Premiumlub Izolowana.To create custom security bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. W tym kroku musisz się upewnić, że Twoja aplikacja internetowa jest w obsługiwanej warstwie cenowej.In this step, you make sure that your web app is in the supported pricing tier.

Logowanie do platformy AzureSign in to Azure

Otwórz witrynę Azure Portal.Open the Azure portal.

Wyszukaj i wybierz pozycję Usługi aplikacji.Search for and select App Services.

Wybieranie usług aplikacji

Na stronie Usługi aplikacji wybierz nazwę aplikacji sieci Web.On the App Services page, select the name of your web app.

Nawigacja w portalu do aplikacji platformy Azure

Wylądowałeś na stronie zarządzania aplikacji internetowej.You have landed on the management page of your web app.

Sprawdzanie warstwy cenowejCheck the pricing tier

W lewym obszarze nawigacji na stronie Twojej aplikacji internetowej przewiń do sekcji Ustawienia i wybierz pozycję Skaluj w górę (plan usługi App Service).In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu skalowania w górę

Upewnij się, że Twoja aplikacja internetowa nie znajduje się w warstwie F1 ani D1.Check to make sure that your web app is not in the F1 or D1 tier. Bieżąca warstwa Twojej aplikacji internetowej jest wyróżniona ciemnoniebieskim polem.Your web app's current tier is highlighted by a dark blue box.

Sprawdzanie warstwy cenowej

Niestandardowy protokół SSL nie jest obsługiwany w warstwie F1 ani D1.Custom SSL is not supported in the F1 or D1 tier. Jeśli musisz skalować w górę, wykonaj kroki opisane w następnej sekcji.If you need to scale up, follow the steps in the next section. W przeciwnym razie zamknij stronę Skalowanie w górę i przejdź do sekcji Skalowanie w górę planu usługi App Service.Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Skalowanie w górę planu usługi App ServiceScale up your App Service plan

Wybierz jedną z płatnych warstw (B1, B2, B3 lub dowolną warstwę z kategorii Produkcja).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Aby uzyskać dodatkowe opcje, kliknij pozycję Wyświetl dodatkowe opcje.For additional options, click See additional options.

Kliknij przycisk Zastosuj.Click Apply.

Wybieranie warstwy cenowej

Wyświetlenie następującego powiadomienia oznacza zakończenie operacji skalowania.When you see the following notification, the scale operation is complete.

Powiadomienie o skalowaniu w górę

Tworzenie bezpłatnego certyfikatu (wersja zapoznawcza)Create a free certificate (Preview)

Bezpłatny certyfikat zarządzany usługi App Service to pod klucz rozwiązanie do zabezpieczania niestandardowej nazwy DNS w usłudze App Service.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. Jest to w pełni funkcjonalny certyfikat SSL, który jest zarządzany przez usługę App Service i odnawiany automatycznie.It's a fully functional SSL certificate that's managed by App Service and renewed automatically. Bezpłatny certyfikat ma następujące ograniczenia:The free certificate comes with the following limitations:

  • Nie obsługuje certyfikatów wieloznacznych.Does not support wildcard certificates.
  • Nie obsługuje domen nagich.Does not support naked domains.
  • Nie można eksportować.Is not exportable.
  • Nie obsługuje rekordów DNS A.Does not support DNS A-records.

Uwaga

Bezpłatny certyfikat jest wydawany przez DigiCert.The free certificate is issued by DigiCert. W przypadku niektórych domen najwyższego poziomu należy jawnie zezwolić firmie DigiCert jako wystawcy 0 issue digicert.comcertyfikatów na utworzenie rekordu domeny CAA o wartości: .For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

Aby utworzyć bezpłatny certyfikat zarządzany usługi App Service:To create a free App Service Managed Certificate:

W witrynie Azure portal, z lewego menu wybierz pozycję App Services > <app-name>.In the Azure portal, from the left menu, select App Services > <app-name>.

Z lewej strony aplikacji wybierz pozycję Ustawienia TLS/SSL > Certyfikaty klucza prywatnego (pfx) > Utwórz certyfikat zarządzany usługi App Service.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Tworzenie bezpłatnego certyfikatu w usłudze app service

W oknie dialogowym zostanie wyświetlona każda nienaga domena, która jest prawidłowo mapowana do aplikacji z rekordem CNAME.Any non-naked domain that's properly mapped to your app with a CNAME record is listed in the dialog. Wybierz domenę niestandardową, dla aby utworzyć bezpłatny certyfikat, i wybierz pozycję Utwórz.Select the custom domain to create a free certificate for and select Create. Dla każdej obsługiwanej domeny niestandardowej można utworzyć tylko jeden certyfikat.You can create only one certificate for each supported custom domain.

Po zakończeniu operacji zostanie wyświetlony certyfikat na liście Certyfikaty klucza prywatnego.When the operation completes, you see the certificate in the Private Key Certificates list.

Tworzenie bezpłatnego certyfikatu zakończonego

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal musisz utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w 10.Follow the steps in Create binding.

Importowanie certyfikatu usługi aplikacjiImport an App Service Certificate

W przypadku zakupu certyfikatu usługi app service z platformy Azure platforma Azure zarządza następującymi zadaniami:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Zajmuje się procesem zakupu od firmy GoDaddy.Takes care of the purchase process from GoDaddy.
  • Przeprowadza weryfikację domeny certyfikatu.Performs domain verification of the certificate.
  • Zachowuje certyfikat w usłudze Azure Key Vault.Maintains the certificate in Azure Key Vault.
  • Zarządza odnawianiem certyfikatów (patrz Odnawianie certyfikatu).Manages certificate renewal (see Renew certificate).
  • Automatycznie synchronizuj certyfikat z zaimportowanymi kopiami w aplikacjach usługi App Service.Synchronize the certificate automatically with the imported copies in App Service apps.

Aby kupić certyfikat usługi App Service, przejdź do ekranu Uruchom zamówienie certyfikatu.To purchase an App Service certificate, go to Start certificate order.

Jeśli masz już działający certyfikat usługi App Service, możesz:If you already have a working App Service certificate, you can:

Rozpocznij zamówienie certyfikatuStart certificate order

Uruchom zamówienie certyfikatu usługi App Service na stronie Tworzenie certyfikatu usługi app service.Start an App Service certificate order in the App Service Certificate create page.

Uruchamianie zakupu certyfikatu usługi App Service

Poniższa tabela ułatwia konfigurowanie certyfikatu.Use the following table to help you configure the certificate. Po zakończeniu kliknij pozycję Gotowe.When finished, click Create.

UstawienieSetting OpisDescription
NazwaName Przyjazna nazwa certyfikatu usługi App Service.A friendly name for your App Service certificate.
Nazwa hosta naked domainNaked Domain Host Name Określ tutaj domenę główną.Specify the root domain here. Wystawiony certyfikat zabezpiecza zarówno domenę główną, jak i poddomenę. wwwThe issued certificate secures both the root domain and the www subdomain. W wystawionym certyfikacie pole Nazwa pospolita zawiera www domenę główną, a pole Nazwa alternatywna podmiotu zawiera domenę.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Aby zabezpieczyć tylko dowolną poddomenę, określ tutaj w pełni kwalifikowaną nazwę domeny poddomeny (na przykład mysubdomain.contoso.com).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubskrypcjaSubscription Subskrypcja, która będzie zawierać certyfikat.The subscription that will contain the certificate.
Grupa zasobówResource group Grupa zasobów, która będzie zawierać certyfikat.The resource group that will contain the certificate. Można użyć nowej grupy zasobów lub wybrać tę samą grupę zasobów co aplikacja usługi App Service, na przykład.You can use a new resource group or select the same resource group as your App Service app, for example.
Jednostka SKU certyfikatuCertificate SKU Określa typ certyfikatu do utworzenia, niezależnie od tego, czy jest to certyfikat standardowy, czy symbol wieloznaczny.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Warunki prawneLegal Terms Kliknij, aby potwierdzić, że zgadzasz się z warunkami prawnymi.Click to confirm that you agree with the legal terms. Certyfikaty są uzyskiwane z firmy GoDaddy.The certificates are obtained from GoDaddy.

Przechowywanie w usłudze Azure Key VaultStore in Azure Key Vault

Po zakończeniu procesu zakupu certyfikatu, przed rozpoczęciem korzystania z tego certyfikatu, należy wykonać kilka czynności, które należy wykonać.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Wybierz certyfikat na stronie Certyfikaty usługi app service, a następnie kliknijkrok 1konfiguracji > certyfikatu: Magazyn .Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Konfigurowanie przechowywania magazynu usługi App Service w magazynie magazynu aplikacji

Key Vault to usługa platformy Azure, która pomaga chronić klucze kryptograficzne i wpisy tajne używane przez aplikacje i usługi w chmurze.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. Jest to magazyn z wyboru dla certyfikatów usługi App Service.It's the storage of choice for App Service certificates.

Na stronie Stan przechowalni kluczy kliknij pozycję Repozytorium magazynu kluczy, aby utworzyć nowy magazyn lub wybrać istniejący przechowalnia.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Jeśli zdecydujesz się utworzyć nowy magazyn, użyj poniższej tabeli, aby skonfigurować przechowalnię i kliknij przycisk Utwórz.If you choose to create a new vault, use the following table to help you configure the vault and click Create. Utwórz nową przechowalnię kluczy w tej samej grupie subskrypcji i zasobów, co aplikacja usługi App Service.Create the new Key Vault inside the same subscription and resource group as your App Service app.

UstawienieSetting OpisDescription
NazwaName Unikatowa nazwa, która składa się dla znaków alfanumeryczne i kresek.A unique name that consists for alphanumeric characters and dashes.
Grupa zasobówResource group Jako zalecenie wybierz tę samą grupę zasobów co certyfikat usługi App Service.As a recommendation, select the same resource group as your App Service certificate.
LokalizacjaLocation Wybierz tę samą lokalizację co aplikacja usługi App Service.Select the same location as your App Service app.
Warstwa cenowaPricing tier Aby uzyskać więcej informacji, zobacz Szczegóły cen usługi Azure Key Vault.For information, see Azure Key Vault pricing details.
Zasady dostępuAccess policies Definiuje aplikacje i dozwolony dostęp do zasobów magazynu.Defines the applications and the allowed access to the vault resources. Można go skonfigurować później, wykonując czynności opisane w udziel kilku aplikacjom dostępu do magazynu kluczy.You can configure it later, following the steps at Grant several applications access to a key vault.
Dostęp do sieci wirtualnejVirtual Network Access Ogranicz dostęp do magazynu do niektórych sieci wirtualnych platformy Azure.Restrict vault access to certain Azure virtual networks. Można go skonfigurować później, wykonując czynności opisane w temacie Konfigurowanie zapór usługi Azure Key Vault i sieci wirtualnychYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Po wybraniu przechowalni zamknij stronę Repozytorium magazynu kluczy.Once you've selected the vault, close the Key Vault Repository page. Opcja Krok 1: Sklep powinien wyświetlać zielony znacznik wyboru sukcesu.The Step 1: Store option should show a green check mark for success. Zachowaj otwartą stronę w następnym kroku.Keep the page open for the next step.

Weryfikowanie własności domenyVerify domain ownership

Na tej samej stronie konfiguracji certyfikatu, która została użyta w ostatnim kroku, kliknij krok 2: Sprawdź.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Weryfikowanie certyfikatu domeny usługi App Service

Wybierz opcję Weryfikacja usługi aplikacji.Select App Service Verification. Ponieważ domena została już zamapowana do aplikacji internetowej (zobacz Wymagania wstępne),jest już zweryfikowana.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Po prostu kliknij przycisk Sprawdź, aby zakończyć ten krok.Just click Verify to finish this step. Kliknij przycisk Odśwież, aż pojawi się komunikat Certyfikat zweryfikowany w domenie.Click the Refresh button until the message Certificate is Domain Verified appears.

Uwaga

Obsługiwane są cztery typy metod weryfikacji domeny:Four types of domain verification methods are supported:

  • Usługa aplikacji — najwygodniejsza opcja, gdy domena jest już mapowana do aplikacji usługi App Service w tej samej subskrypcji.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Korzysta z faktu, że aplikacja usługi App Service już zweryfikowała własność domeny.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Domena — weryfikuj domenę usługi App Service zakupioną na platformie Azure.Domain - Verify an App Service domain that you purchased from Azure. Platforma Azure automatycznie dodaje rekord TXT weryfikacji dla Ciebie i kończy proces.Azure automatically adds the verification TXT record for you and completes the process.
  • Poczta — weryfikuj domenę, wysyłając wiadomość e-mail do administratora domeny.Mail - Verify the domain by sending an email to the domain administrator. Instrukcje są dostarczane po wybraniu opcji.Instructions are provided when you select the option.
  • Ręcznie — sprawdź domenę przy użyciu strony HTML (tylko certyfikatstandardowy) lub rekordu DNS TXT.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. Instrukcje są dostarczane po wybraniu opcji.Instructions are provided when you select the option.

Importowanie certyfikatu do usługi App ServiceImport certificate into App Service

W witrynie Azure portal, z lewego menu wybierz pozycję App Services > <app-name>.In the Azure portal, from the left menu, select App Services > <app-name>.

Z lewej strony aplikacji wybierz pozycję Ustawienia TLS/SSL > Certyfikaty klucza prywatnego (.pfx) > Import App ServiceCertificate.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importowanie certyfikatu usługi App Service w usłudze aplikacji

Wybierz właśnie zakupiony certyfikat i wybierz przycisk OK.Select the certificate that you just purchased and select OK.

Po zakończeniu operacji zostanie wyświetlony certyfikat na liście Certyfikaty klucza prywatnego.When the operation completes, you see the certificate in the Private Key Certificates list.

Certyfikat importu usługi App Service został ukończony

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal musisz utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w 10.Follow the steps in Create binding.

Importowanie certyfikatu z magazynu kluczyImport a certificate from Key Vault

Jeśli używasz usługi Azure Key Vault do zarządzania certyfikatami, możesz zaimportować certyfikat PKCS12 z usługi Key Vault do usługi App Service, o ile spełnia on wymagania.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

W witrynie Azure portal, z lewego menu wybierz pozycję App Services > <app-name>.In the Azure portal, from the left menu, select App Services > <app-name>.

Z lewej strony aplikacji wybierz pozycję Ustawienia TLS/SSL > Certyfikaty klucza prywatnego (pfx) > Importuj certyfikat przechowalni kluczy.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importowanie certyfikatu magazynu kluczy w usłudze aplikacji

Poniższa tabela ułatwia wybór certyfikatu.Use the following table to help you select the certificate.

UstawienieSetting OpisDescription
SubskrypcjaSubscription Subskrypcja, do której należy Usługa Key Vault.The subscription that the Key Vault belongs to.
Usługa Key VaultKey Vault Przechowalnia z certyfikatem, który chcesz zaimportować.The vault with the certificate you want to import.
CertyfikatCertificate Wybierz z listy certyfikatów PKCS12 w przechowalni.Select from the list of PKCS12 certificates in the vault. Wszystkie certyfikaty PKCS12 w przechowalni są wyświetlane z odciskami palców, ale nie wszystkie są obsługiwane w usłudze App Service.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Po zakończeniu operacji zostanie wyświetlony certyfikat na liście Certyfikaty klucza prywatnego.When the operation completes, you see the certificate in the Private Key Certificates list. Jeśli importowanie nie powiedzie się z powodu błędu, certyfikat nie spełnia wymagań usługi App Service.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Certyfikat Importuj przechowalnię kluczy został ukończony

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal musisz utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w 10.Follow the steps in Create binding.

Przekazywanie certyfikatu prywatnegoUpload a private certificate

Po uzyskaniu certyfikatu od dostawcy certyfikatów wykonaj kroki opisane w tej sekcji, aby przygotować go do usługi App Service.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Scalanie certyfikatów pośrednichMerge intermediate certificates

Jeśli Twój urząd certyfikacji dał Ci wiele certyfikatów w łańcuchu certyfikatów, musisz kolejno scalić certyfikaty.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Aby to zrobić, otwórz każdy otrzymany certyfikat w edytorze tekstów.To do this, open each certificate you received in a text editor.

Utwórz plik scalonego certyfikatu o nazwie mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. W edytorze tekstów skopiuj zawartość każdego certyfikatu do tego pliku.In a text editor, copy the content of each certificate into this file. Kolejność certyfikatów powinna być zgodna z kolejnością w łańcuchu certyfikatów, poczynając od Twojego certyfikatu i kończąc na certyfikacie głównym.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. Wygląda to następująco:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Eksportowanie certyfikatu do pliku PFXExport certificate to PFX

Wyeksportuj scalony certyfikat protokołu SSL z kluczem prywatnym, przy użyciu którego zostało wygenerowane żądanie certyfikatu.Export your merged SSL certificate with the private key that your certificate request was generated with.

Jeśli żądanie certyfikatu zostało wygenerowane przy użyciu biblioteki OpenSSL, został utworzony plik klucza prywatnego.If you generated your certificate request using OpenSSL, then you have created a private key file. Aby wyeksportować certyfikat do pliku PFX, uruchom następujące polecenie.To export your certificate to PFX, run the following command. Zastąp symbole zastępcze _ <>pliku klucza prywatnego_ i _ <>scalonym plikiem certyfikatu_ ścieżkami do klucza prywatnego i scalonego pliku certyfikatu.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Po wyświetleniu monitu określ hasło eksportu.When prompted, define an export password. To hasło będzie później używane podczas przekazywania certyfikatu protokołu SSL do usługi App Service.You'll use this password when uploading your SSL certificate to App Service later.

Jeśli używasz usług IIS lub programu Certreq.exe do wygenerowania swojego żądania certyfikatu, zainstaluj certyfikat na komputerze lokalnym, a następnie wyeksportuj certyfikat do pliku PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Przekazywanie certyfikatu do usługi app serviceUpload certificate to App Service

Teraz możesz przesłać certyfikat do usługi App Service.You're now ready upload the certificate to App Service.

W witrynie Azure portal, z lewego menu wybierz pozycję App Services > <app-name>.In the Azure portal, from the left menu, select App Services > <app-name>.

Z lewej strony aplikacji wybierz pozycję Ustawienia TLS/SSL > Certyfikaty klucza prywatnego (pfx) > Przekaż certyfikat.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Przekazywanie certyfikatu prywatnego w usłudze app service

W pozycji Plik PFX certyfikatu wybierz swój plik PFX.In PFX Certificate File, select your PFX file. W polu Hasło certyfikatu wpisz hasło, które zostało utworzone podczas eksportowania pliku PFX.In Certificate password, type the password that you created when you exported the PFX file. Po zakończeniu kliknij przycisk Przekaż.When finished, click Upload.

Po zakończeniu operacji zostanie wyświetlony certyfikat na liście Certyfikaty klucza prywatnego.When the operation completes, you see the certificate in the Private Key Certificates list.

Zakończono przekazywanie certyfikatu

Ważne

Aby zabezpieczyć domenę niestandardową za pomocą tego certyfikatu, nadal musisz utworzyć powiązanie certyfikatu.To secure a custom domain with this certificate, you still need to create a certificate binding. Wykonaj kroki opisane w 10.Follow the steps in Create binding.

Przekazywanie certyfikatu publicznegoUpload a public certificate

Certyfikaty publiczne są obsługiwane w formacie .cer.Public certificates are supported in the .cer format.

W witrynie Azure portal, z lewego menu wybierz pozycję App Services > <app-name>.In the Azure portal, from the left menu, select App Services > <app-name>.

Po lewej stronie nawigacji aplikacji kliknij pozycję > Ustawienia TLS/SSL****Certyfikaty publiczne (cer) > Przekaż certyfikat klucza publicznego.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

W pliku Namewpisz nazwę certyfikatu.In Name, type a name for the certificate. W pliku certyfikatu CERwybierz plik CER.In CER Certificate file, select your CER file.

Kliknij pozycję Przekaż.Click Upload.

Przekazywanie certyfikatu publicznego w usłudze app service

Po przekazaniu certyfikatu skopiuj odcisk palca certyfikatu i zobacz Udostępnij certyfikat.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Zarządzanie certyfikatami usługi app serviceManage App Service certificates

W tej sekcji pokazano, jak zarządzać certyfikatem usługi App Service zakupionym w zaimportuj certyfikat usługi App Service.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Certyfikat ponownego kluczaRekey certificate

Jeśli uważasz, że klucz prywatny certyfikatu został naruszony, możesz ponownie wywrzeć certyfikat.If you think your certificate's private key is compromised, you can rekey your certificate. Wybierz certyfikat na stronie Certyfikaty usługi app service, a następnie wybierz pozycję Ponownieklizowany i Zsynchronizowany z lewej strony nawigacji.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Kliknij przycisk Ponownie, aby rozpocząć proces.Click Rekey to start the process. Ten proces może potrwać 1-10 minut.This process can take 1-10 minutes to complete.

Ponowne klucze certyfikatu usługi app service

Ponowne tworzenie klucza certyfikatu jest rzutowe certyfikatem z nowym certyfikatem wystawionym przez urząd certyfikacji.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Po zakończeniu operacji ponownego klucza kliknij przycisk Synchronizuj. Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Uwaga

Jeśli nie klikniesz przycisku Synchronizuj, usługa App Service automatycznie zsynchronizuje certyfikat w ciągu 48 godzin.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Odnawianie certyfikatuRenew certificate

Aby włączyć automatyczne odnawianie certyfikatu w dowolnym momencie, wybierz certyfikat na stronie Certyfikaty usługi app service, a następnie kliknij pozycję Automatyczne odnawianie ustawień w lewej części nawigacji.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Domyślnie certyfikaty usługi app service mają roczny okres ważności.By default, App Service Certificates have a one-year validity period.

Wybierz pozycję Włączone i kliknij pozycję Zapisz.Select On and click Save. Certyfikaty mogą rozpocząć automatyczne odnawianie 60 dni przed wygaśnięciem, jeśli masz włączone automatyczne odnawianie.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Automatyczne odnawianie certyfikatu usługi App Service

Aby zamiast tego ręcznie odnowić certyfikat, kliknij przycisk Ręczne odnawianie.To manually renew the certificate instead, click Manual Renew. Możesz poprosić o ręczne odnowienie certyfikatu na 60 dni przed wygaśnięciem.You can request to manually renew your certificate 60 days before expiration.

Po zakończeniu operacji odnawiania kliknij przycisk Synchronizuj. Operacja synchronizacji automatycznie aktualizuje powiązania nazwy hosta certyfikatu w usłudze App Service bez powodowania przestojów w aplikacjach.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Uwaga

Jeśli nie klikniesz przycisku Synchronizuj, usługa App Service automatycznie zsynchronizuje certyfikat w ciągu 48 godzin.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Eksportowanie certyfikatuExport certificate

Ponieważ certyfikat usługi app service jest kluczem tajnym magazynu kluczy,można wyeksportować jego kopię PFX i używać jej do innych usług platformy Azure lub poza platformą Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Aby wyeksportować certyfikat usługi App Service jako plik PFX, uruchom następujące polecenia w aplikacji Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. Można również uruchomić go lokalnie, jeśli zainstalowano platformę Azure CLI.You can also run it locally if you installed Azure CLI. Zastąp symbole zastępcze nazwami używanymi podczas tworzenia certyfikatu usługi App Service.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Pobrany plik appservicecertificate.pfx jest nieprzetworzonym plikiem PKCS12, który zawiera certyfikaty publiczne i prywatne.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. W każdym wierszu polecenia użyj pustego ciągu dla hasła importu i frazy przebiegu PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Usuwanie certyfikatuDelete certificate

Usunięcie certyfikatu usługi App Service jest ostateczne i nieodwracalne.Deletion of an App Service certificate is final and irreversible. Usunięcie zasobu certyfikatu usługi app service powoduje odwołanie certyfikatu.Deletion of a App Service Certificate resource results in the certificate being revoked. Wszelkie powiązania w usłudze App Service z tym certyfikatem stają się nieważne.Any binding in App Service with this certificate becomes invalid. Aby zapobiec przypadkowemu usunięciu, platforma Azure blokuje certyfikat.To prevent accidental deletion, Azure puts a lock on the certificate. Aby usunąć certyfikat usługi App Service, należy najpierw usunąć blokadę usuwania certyfikatu.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Wybierz certyfikat na stronie Certyfikaty usługi app service, a następnie wybierz pozycję Blokady w lewej nawigacji.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Znajdź blokadę na certyfikacie z typem blokady Usuń.Find the lock on your certificate with the lock type Delete. Po prawej stronie wybierz pozycję Usuń.To the right of it, select Delete.

Usuń blokadę certyfikatu usługi App Service

Teraz możesz usunąć certyfikat usługi App Service.Now you can delete the App Service certificate. W lewej nawigacji wybierz pozycję Przegląd > Usuń.From the left navigation, select Overview > Delete. W oknie dialogowym potwierdzenia wpisz nazwę certyfikatu i wybierz przycisk OK.In the confirmation dialog, type the certificate name and select OK.

Automatyzowanie przy użyciu skryptówAutomate with scripts

Interfejs wiersza polecenia platformy AzureAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Więcej zasobówMore resources