Skapa och hantera ett App Service-certifikat för din webbapp

Den här artikeln visar hur du skapar ett App Service-certifikat och hanterar det (till exempel förnya, synkronisera och ta bort). När du har ett App Service-certifikat kan du importera det till en App Service-app. Ett App Service-certifikat är ett privat certifikat som hanteras av Azure. Den kombinerar enkelheten i automatiserad certifikathantering och flexibiliteten med förnyelse- och exportalternativ.

Om du köper ett App Service-certifikat från Azure hanterar Azure följande uppgifter:

• Hanterar inköpsprocessen från GoDaddy.
• Utför domänverifiering av certifikatet.
• Underhåller certifikatet i Azure Key Vault.
• Hanterar certifikatförnyelse.
• Synkroniserar certifikatet automatiskt med de importerade kopiorna i App Service-appar.

Kommentar

När du har laddat upp ett certifikat till en app lagras certifikatet i en distributionsenhet som är bunden till App Service-planens kombination av resursgrupp, region och operativsystem, internt kallad en webbrymd. På så sätt är certifikatet tillgängligt för andra appar i samma resursgrupp och regionkombination. Certifikat som laddats upp eller importerats till App Service delas med App Services i samma distributionsenhet.

Förutsättningar

• Skapa en App Service-app. Appens App Service-plan måste vara på nivån Basic, Standard, Premium eller Isolerad . Se Skala upp en app för att uppdatera nivån.

Kommentar

För närvarande stöds inte App Service-certifikat i Azure National Clouds.

Köpa och konfigurera ett App Service-certifikat

Starta certifikatinköp

1. Gå till sidan för att skapa App Service-certifikat och starta köpet av ett App Service-certifikat.

   Kommentar

   App Service-certifikat som köpts från Azure utfärdas av GoDaddy. För vissa domäner måste du uttryckligen tillåta GoDaddy som certifikatutfärdare genom att skapa en CAA-domänpost med värdet: 0 issue godaddy.com

   

2. Använd följande tabell för att konfigurera certifikatet. När du är klar väljer du Granska + Skapa och sedan Skapa.

   Inställning	beskrivning
   Abonnemang	Azure-prenumerationen som ska associeras med certifikatet.
   Resursgrupp	Den resursgrupp som ska innehålla certifikatet. Du kan antingen skapa en ny resursgrupp eller välja samma resursgrupp som din App Service-app.
   SKU	Avgör vilken typ av certifikat som ska skapas, antingen ett standardcertifikat eller ett jokerteckencertifikat.
   Naked Domain Host Name	Ange rotdomänen. Det utfärdade certifikatet skyddar både rotdomänen och underdomänen www . I det utfärdade certifikatet anger fältet Eget namn rotdomänen och fältet Alternativt namn för certifikatmottagare anger domänen www . Om du bara vill skydda alla underdomäner anger du det fullständigt kvalificerade domännamnet för underdomänen, mysubdomain.contoso.comtill exempel .
   Certifikatnamn	Det egna namnet på ditt App Service-certifikat.
   Aktivera automatisk förnyelse	Välj om certifikatet ska förnyas automatiskt innan det upphör att gälla. Varje förnyelse förlänger certifikatets giltighetstid med ett år och kostnaden debiteras för din prenumeration.

3. När distributionen är klar väljer du Gå till resurs.

Lagra certifikat i Azure Key Vault

Key Vault är en Azure-tjänst som hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och tjänster. För App Service-certifikat är valfritt lagringsutrymme Key Vault. När du har slutfört certifikatinköpsprocessen måste du slutföra några fler steg innan du börjar använda det här certifikatet.

1. På sidan App Service-certifikat väljer du certifikatet. På certifikatmenyn väljer du Certifikatkonfiguration>Steg 1: Lagra.

   

2. På sidan Key Vault-status väljer du Välj från Key Vault.

3. Om du skapar ett nytt valv konfigurerar du valvet baserat på följande tabell och ser till att använda samma prenumeration och resursgrupp som din App Service-app.

   Inställning	beskrivning
   Resursgrupp	Rekommenderas: Samma resursgrupp som ditt App Service-certifikat.
   Namn på nyckelvalv	Ett unikt namn som endast använder alfanumeriska tecken och bindestreck.
   Region	Samma plats som din App Service-app.
   Prisnivå	Mer information finns i Prisinformation för Azure Key Vault.
   Dagar för att behålla borttagna valv	Antalet dagar efter borttagningen, där objekt förblir återställningsbara (se översikt över mjuk borttagning i Azure Key Vault). Ange ett värde mellan 7 och 90.
   Rensa skydd	Förhindrar att objekt med mjuk borttagning av st-objekt rensas manuellt. Om du aktiverar det här alternativet måste alla borttagna objekt förbli i mjukt borttaget tillstånd under hela kvarhållningsperioden.

4. Välj Nästa och välj Åtkomstprincip för valv. För närvarande stöder App Service-certifikat endast Åtkomstprinciper för Key Vault, inte RBAC-modellen.

5. Välj Granska + skapa och välj sedan Skapa.

6. När nyckelvalvet har skapats väljer du inte Gå till resurs utan väntar på att sidan Välj nyckelvalv från Azure Key Vault ska läsas in igen.

7. Välj Välj.

8. När du har valt valvet stänger du sidan Key Vault-lagringsplats . Alternativet Steg 1: Store bör visa en grön bockmarkering för att indikera att den har lyckats. Håll sidan öppen för nästa steg.

Bekräfta domänägarskap

1. På samma sida För certifikatkonfiguration i föregående avsnitt väljer du Steg 2: Verifiera.

   

2. Välj App Service-verifiering. Men eftersom du tidigare mappade domänen till webbappen enligt förhandskraven är domänen redan verifierad. Slutför det här steget genom att välja Verifiera och sedan uppdatera tills meddelandet Certifikat är Domänverifierat visas.

Följande metoder för domänverifiering stöds:

Metod	beskrivning
App Service-verifiering	Det enklaste alternativet när domänen redan är mappad till en App Service-app i samma prenumeration eftersom App Service-appen redan har verifierat domänägarskapet. Granska det sista steget i Bekräfta domänägarskap.
Domänverifiering	Bekräfta en App Service-domän som du har köpt från Azure. Azure lägger automatiskt till verifierings-TXT-posten åt dig och slutför processen.
E-postverifiering	Bekräfta domänen genom att skicka ett e-postmeddelande till domänadministratören. Instruktioner ges när du väljer alternativet.
Manuell verifiering	Bekräfta domänen med hjälp av antingen en DNS TXT-post eller en HTML-sida, som endast gäller standardcertifikat enligt följande anteckning. Stegen anges när du har valt alternativet. HTML-sidalternativet fungerar inte för webbappar med "ENDAST HTTPS" aktiverat. För domänverifiering via DNS TXT-post för någon av rotdomänerna (dvs. "contoso.com") eller underdomän (dvs. "www.contoso.com", "test.api.contoso.com") och oavsett certifikat-SKU måste du lägga till en TXT-post på rotdomännivå med hjälp av @för namnet och domänverifieringstoken för värdet i DNS-posten.

Viktigt!

Med standardcertifikatet får du ett certifikat för den begärda toppnivådomänen och underdomänenwww, contoso.com till exempel och www.contoso.com. App Service-verifiering och manuell verifiering använder dock båda HTML-sidverifieringen, som inte stöder underdomänen www när du utfärdar, nyckelar om eller förnyar ett certifikat. För standardcertifikatet använder du Domänverifiering och e-postverifiering för att inkludera underdomänen www med den begärda toppnivådomänen i certifikatet.

När certifikatet är domänverifierat är du redo att importera det till en App Service-app.

Förnya ett App Service-certifikat

Som standard har App Service-certifikat en giltighetstid på ett år. Före och närmare förfallodatumet kan du automatiskt eller manuellt förnya App Service-certifikat i steg om ett år. Förnyelseprocessen ger dig ett nytt App Service-certifikat med förfallodatumet utökat till ett år från det befintliga certifikatets förfallodatum.

Kommentar

Från och med den 23 september 2021, om du inte har verifierat domänen under de senaste 395 dagarna, kräver App Service-certifikat domänverifiering under en förnyelse- eller nyckelprocess. Den nya certifikatordningen förblir i läget "väntande utfärdande" under förnyelse- eller nyckelprocessen tills du har slutfört domänverifieringen.

Till skillnad från det kostnadsfria App Service-hanterade certifikatet automatiseras inte domänverifiering för App Service-certifikat. Det gick inte att verifiera domänägarskapet, vilket resulterar i misslyckade förnyelser. Mer information om hur du verifierar ditt App Service-certifikat finns i Bekräfta domänägarskap.

Förnyelseprocessen kräver att det välkända tjänstens huvudnamn för App Service har de behörigheter som krävs för ditt nyckelvalv. Dessa behörigheter konfigureras åt dig när du importerar ett App Service-certifikat via Azure-portalen. Se till att du inte tar bort dessa behörigheter från nyckelvalvet.

1. Om du vill ändra inställningen för automatisk förnyelse för ditt App Service-certifikat när som helst väljer du certifikatet på sidan App Service-certifikat.

2. På den vänstra menyn väljer du Förnya automatiskt Inställningar.

3. Välj På eller Av och välj Spara.

   Om du aktiverar automatisk förnyelse kan certifikaten börja förnyas automatiskt 32 dagar innan de upphör att gälla.

   

4. Om du vill förnya certifikatet manuellt i stället väljer du Manuell förnyelse. Du kan begära att förnya certifikatet manuellt 60 dagar innan det upphör att gälla, men det maximala förfallodatumet är 397 dagar.

5. När förnyelseåtgärden är klar väljer du Synkronisera.

   Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

   Kommentar

   Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.

Nyckel och App Service-certifikat

Om du tror att certifikatets privata nyckel har komprometterats kan du uppdatera certifikatet. Den här åtgärden återställer certifikatet med ett nytt certifikat som utfärdats från certifikatutfärdare.

1. På sidan App Service-certifikat väljer du certifikatet. Välj Nyckel och Synkronisera på den vänstra menyn.

2. Starta processen genom att välja Nyckel igen. Den här processen kan ta 1–10 minuter att slutföra.

   

3. Du kan också behöva bekräfta domänägarskapet igen.

4. När nyckelåtgärden har slutförts väljer du Synkronisera.

   Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

   Kommentar

   Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.

Exportera ett App Service-certifikat

Eftersom ett App Service-certifikat är en Key Vault-hemlighet kan du exportera en kopia som en PFX-fil som du kan använda för andra Azure-tjänster eller utanför Azure.

Viktigt!

Det exporterade certifikatet är en ohanterad artefakt. App Service synkroniserar inte sådana artefakter när App Service-certifikatet förnyas. Du måste exportera och installera det förnyade certifikatet vid behov.

Azure-portalen

1. På sidan App Service-certifikat väljer du certifikatet.

2. Välj Exportera certifikat på den vänstra menyn.

3. Välj Öppna Key Vault-hemlighet.

4. Välj certifikatets aktuella version.

5. Välj Ladda ned som ett certifikat.

Azure CLI

Kör följande kommandon i Azure Cloud Shell eller kör dem lokalt om du har installerat Azure CLI. Ersätt platshållarna med de namn som du använde när du köpte App Service-certifikatet.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Den nedladdade PFX-filen är en rå PKCS12-fil som innehåller både offentliga och privata certifikat och har ett importlösenord som är en tom sträng. Du kan installera filen lokalt genom att lämna lösenordsfältet tomt. Du kan inte ladda upp filen som den är till App Service eftersom filen inte är lösenordsskyddad.

Ta bort ett App Service-certifikat

Om du tar bort ett App Service-certifikat är borttagningsåtgärden oåterkallelig och slutgiltig. Resultatet är ett återkallat certifikat och alla bindningar i App Service som använder det här certifikatet blir ogiltiga.

1. På sidan App Service-certifikat väljer du certifikatet.

2. På den vänstra menyn väljer du Översikt>Ta bort.

3. När bekräftelserutan öppnas anger du certifikatnamnet och väljer OK.

Vanliga frågor och svar

Mitt App Service-certifikat har inget värde i Key Vault

Ditt App Service-certifikat är troligen fortfarande inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas. Som en nyckelvalvshemlighet behåller den en Initialize tagg och dess värde och innehållstyp förblir tomma. När domänägarskapet bekräftas visar nyckelvalvshemligheten ett värde och en innehållstyp och taggen ändras till Ready.

Jag kan inte exportera mitt App Service-certifikat med PowerShell

Ditt App Service-certifikat är troligen fortfarande inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas.

Vilka ändringar gör processen för att skapa App Service-certifikat i mitt befintliga Key Vault?

Skapandeprocessen gör följande ändringar:

• Lägger till två åtkomstprinciper i valvet:
  • Microsoft.Azure.WebSites (eller Microsoft Azure App Service)
  • CSM-resursprovider för Microsoft-certifikatåterförsäljare (eller Microsoft.Azure.CertificateRegistration)
• Skapar ett borttagningslås på valvet med namnet: AppServiceCertificateLock för att förhindra oavsiktlig borttagning av nyckelvalvet.

Fler resurser

• Skydda ett anpassat DNS-namn med en TLS/SSL-bindning i Azure App Service
• Använda HTTPS
• Framtvinga TLS 1.1/1.2
• Använda ett TLS-/SSL-certifikat i koden i Azure App Service
• Vanliga frågor och svar: App Service-certifikat