Lägg till ett TLS-/SSL-certifikat i Azure App Service

Azure App Service en mycket skalbar och självkorrigering av webbvärdtjänsten. Den här artikeln visar hur du skapar, laddar upp eller importerar ett privat certifikat eller ett offentligt certifikat till App Service.

När certifikatet har lagts till i din App Service-app eller funktionsappkan du skydda ett anpassat DNS-namn med det eller använda det i programkoden.

I följande tabell visas de alternativ som du har för att lägga till certifikat i App Service:

Förutsättningar

• Skapa en App Service app.
• För ett privat certifikat kontrollerar du att det uppfyller alla krav från App Service.
• Endast kostnadsfritt certifikat:
  • Mappa den domän som du vill att ett certifikat för ska App Service. Mer information finns i Självstudie: Mappa ett befintligt anpassat DNS-namn till Azure App Service.
  • För en rotdomän (till exempel contoso.com) kontrollerar du att appen inte har några konfigurerade IP-begränsningar. Både skapandet av certifikat och den periodiska förnyelsen för en rotdomän beror på att din app kan nås från Internet.

Krav för privata certifikat

Det kostnadsfria App Service och det App Service certifikatet uppfyller redan kraven för App Service. Om du väljer att ladda upp eller importera ett privat certifikat till App Service måste certifikatet uppfylla följande krav:

• Exporteras som en lösenordsskyddad PFX-fil, krypterad med trippel DES.
• Innehålla en privat nyckel som är minst 2 048 bitar lång
• Innehåller alla mellanliggande certifikat och rotcertifikatet i certifikatkedjan.

Certifikatet har ytterligare krav för att skydda en anpassad domän i en TLS-bindning:

• Innehåller en utökad nyckelanvändning för serverautentisering (OID = 1.3.6.1.5.5.7.3.1)
• Vara signerat av en betrodd certifikatutfärdare

Förbereda din webbapp

För att skapa anpassade TLS/SSL-bindningar eller aktivera klient certifikat för din App Service-app, måste App Service plan finnas på nivån Basic, standard, Premium eller isolerad . I det här steget ser du till att webbappen har en prisnivå som stöds.

Logga in på Azure

Öppna Azure-portalen.

Navigera till din webbapp

Sök efter och välj app Services.

På sidan app Services väljer du namnet på din webbapp.

Du har landat på hanterings sidan för din webbapp.

Kontrollera prisnivån

I det vänstra navigeringsfältet på webbappsidan bläddrar du till avsnittet Inställningar och väljer Skala upp (App Service-plan).

Kontrollera att webbappen inte är på nivån F1 eller D1. Appens aktuella nivå markeras med en mörkblå ruta.

Anpassat SSL stöds inte på nivån F1 eller D1. Om du behöver skala upp följer du stegen i nästa avsnitt. I annat fall stängs sidan Skala upp och hoppar över avsnittet Skala upp App Service-planen.

Skala upp App Service-planen

Välj någon av betalnivåerna (B1, B2, B3 eller någon nivå i kategorin Produktion). Klicka på Visa ytterligare alternativ om du vill se fler alternativ.

Klicka på Applicera.

När du ser följande meddelande har skalningsåtgärden slutförts.

Skapa ett kostnadsfritt hanterat certifikat

Det kostnadsfria App Service hanterade certifikatet är en nyckelnyckellösning för att skydda ditt anpassade DNS-namn i App Service. Det är ett TLS-/SSL-servercertifikat som hanteras fullständigt av App Service och förnyas kontinuerligt och automatiskt i steg om sex månader, 45 dagar innan förfallodatumet. Du skapar certifikatet och binder det till en anpassad domän och låter App Service göra resten.

Det kostnadsfria certifikatet har följande begränsningar:

• Stöder inte jokerteckencertifikat.
• Stöder inte användning som ett klientcertifikat av certifikatets tumavtryck (borttagning av certifikatets tumavtryck planeras).
• Kan inte exporteras.
• Stöds inte på App Service offentligt tillgänglig.
• Stöds inte på App Service-miljön (ASE).
• Stöds inte med rotdomäner som är integrerade med Traffic Manager.
• Om ett certifikat gäller för en CNAME-mappad domän måste CNAME mappas direkt till <app-name>.azurewebsites.net .

I den Azure Portalmenyn till vänster väljer du App Services > <app-name> .

I appens vänstra navigeringsfält väljer du TLS/SSL-inställningar > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Välj den anpassade domänen för att skapa ett kostnadsfritt certifikat för och välj Skapa. Du kan bara skapa ett certifikat för varje anpassad domän som stöds.

När åtgärden har slutförts visas certifikatet i listan Certifikat för privat nyckel.

Importera en App Service Certificate

Om du köper en App Service Certificate från Azure hanterar Azure följande uppgifter:

• Tar hand om inköpsprocessen från GoDaddy.
• Utför domänverifiering av certifikatet.
• Underhåller certifikatet i Azure Key Vault.
• Hanterar certifikatförnyelse (se Förnya certifikat).
• Synkronisera certifikatet automatiskt med de importerade kopiorna i App Service appar.

Om du vill App Service ett certifikat går du till Starta certifikatbeställning.

Om du redan har ett App Service certifikat kan du:

• Importera certifikatet till App Service.
• Hantera certifikatet,till exempel förnya, nyckela om och exportera det.

Starta certifikatordning

Starta en App Service certifikatordning på sidan App Service Certificate skapa.

Använd följande tabell för att konfigurera certifikatet. Klicka på Skapa när du är klar.

Lagra i Azure Key Vault

När certifikatinköpsprocessen är klar finns det några fler steg som du måste utföra innan du kan börja använda det här certifikatet.

Välj certifikatet på sidan App Service certifikat och klicka sedan på Certifikatkonfiguration steg > 1: Lagra.

Key Vault är en Azure-tjänst som hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster. Det är den lagring som du väljer för App Service certifikat.

På sidan Key Vault Status klickar du på Key Vault lagringsplats för att skapa ett nytt valv eller välja ett befintligt valv. Om du väljer att skapa ett nytt valv använder du följande tabell för att konfigurera valvet och klickar på Skapa. Skapa den nya Key Vault i samma prenumeration och resursgrupp som din App Service app.

När du har valt valvet stänger du sidan Key Vault Lagringsplats. Alternativet Steg 1: Butik bör visa en grön bockmarkering för att det ska lyckas. Låt sidan vara öppen för nästa steg.

Verifiera domänägarskap

Från samma certifikatkonfigurationssida som du använde i det senaste steget klickar du på Steg 2: Verifiera.

Välj App Service Verifiering. Eftersom du redan har mappat domänen till din webbapp (se Krav) är den redan verifierad. Slutför det här steget genom att klicka på Verifiera. Klicka på knappen Uppdatera tills meddelandet Certifikat är Domänverifierade visas.

Importera certifikatet till App Service

I den Azure Portalmenyn till vänster väljer du App Services > <app-name> .

I appens vänstra navigeringsfält väljer du TLS/SSL-inställningar > Private Key Certificates (.pfx) > Import App Service Certificate.

Välj det certifikat som du precis har köpt och välj OK.

När åtgärden har slutförts visas certifikatet i listan Certifikat för privat nyckel.

Importera ett certifikat från Key Vault

Om du använder Azure Key Vault för att hantera dina certifikat kan du importera ett PKCS12-certifikat från Key Vault till App Service så länge det uppfyller kraven.

Auktorisera App Service att läsa från valvet

Som standard har App Service-resursprovidern inte åtkomst till Key Vault. För att kunna använda en Key Vault för en certifikatdistribution måste du auktorisera resursprovidern läsbehörighet till KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd är resursproviderns huvudnamn för App Service och det är samma för alla Azure-prenumerationer. För Azure Government molnmiljö använder du i 6a02c803-dafd-4136-b4c3-5a6f318b4714 stället som resursproviderns huvudnamn för tjänstens huvudnamn.

Importera ett certifikat från valvet till din app

I den Azure Portalmenyn till vänster väljer du App Services > <app-name> .

I appens vänstra navigeringsfält väljer du TLS/SSL-inställningar > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Använd följande tabell när du ska välja certifikatet.

När åtgärden har slutförts visas certifikatet i listan Certifikat för privat nyckel. Om importen misslyckas med ett fel uppfyller certifikatet inte kraven för att App Service.

Upload ett privat certifikat

När du har skaffat ett certifikat från certifikatprovidern följer du stegen i det här avsnittet för att förbereda det för App Service.

Sammanfoga mellanliggande certifikat

Om du får flera certifikat av din certifikatutfärdare i certifikatkedjan, måste du sammanfoga certifikaten i ordning.

Gör detta genom att öppna varje certifikat som du fick i ett redigeringsprogram.

Skapa en fil för det sammanfogade certifikatet med namnet mergedcertificate.crt. I redigeringsprogrammet kopierar du innehållet i varje certifikat till den här filen. Ordningen på dina certifikat ska följa ordningen i certifikatkedjan, först med ditt certifikat och sist med rotcertifikatet. Det ser ut som i följande exempel:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportera certifikat till PFX

Exportera ditt sammanslagna TLS/SSL-certifikat med den privata nyckel som certifikatbegäran genererades med.

Om du genererade din certifikatbegäran med hjälp av OpenSSL, har du skapat en privat nyckelfil. Kör följande kommando för att exportera certifikatet till PFX. Ersätt platshållarna < private-key-file> < och merged-certificate-file> sökvägarna till din privata nyckel och den sammanfogade certifikatfilen.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

När du uppmanas till det anger du ett exportlösenord. Du använder det här lösenordet när du laddar upp TLS/SSL-certifikatet till App Service senare.

Om du använder IIS eller Certreq.exe till att generera din certifikatbegäran, installerar du certifikatet på den lokala datorn och exporterar sedan certifikatet till PFX.

Upload certifikat till App Service

Nu är du redo att ladda upp certifikatet till App Service.

I den Azure Portalmenyn till vänster väljer du App Services > <app-name> .

I appens vänstra navigeringsfält väljer du TLS/SSL-inställningar > Private Key Certificates (.pfx) > Upload Certificate.

I PFX-certifikatsfil väljer du din PFX-fil. I Certifikatslösenord skriver du lösenordet som du skapade när du exporterade PFX-filen. När du är klar klickar du på Upload.

När åtgärden har slutförts visas certifikatet i listan Certifikat för privat nyckel.

Upload ett offentligt certifikat

Offentliga certifikat stöds i .cer-format.

I den Azure Portalmenyn till vänster väljer du App Services > <app-name> .

I appens vänstra navigeringsfält klickar du på TLS/SSL-inställningar Offentliga certifikat > (.cer) > Upload Certifikat för offentlig nyckel.

I Namn anger du ett namn för certifikatet. I CER-certifikatfilen väljer du CER-filen.

Klicka på Överför.

När certifikatet har laddats upp kopierar du certifikatets tumavtryck och ser Gör certifikatet tillgängligt.

Förnya ett utgånget certifikat

Innan ett certifikat upphör att gälla bör du lägga till det förnyade certifikatet i App Service uppdatera valfri TLS/SSL-bindning. Processen beror på certifikattypen. Ett certifikat som importerats från Key Vault, inklusive ett App Service-certifikat,synkroniseras automatiskt till App Service var 24:e timme och uppdaterar TLS/SSL-bindningen när du förnyar certifikatet. Det finns ingen automatisk bindningsuppdateringför ett uppladdat certifikat. Se något av följande avsnitt beroende på ditt scenario:

• Förnya ett uppladdat certifikat
• Förnya ett App Service certifikat
• Förnya ett certifikat som importerats från Key Vault

Förnya ett uppladdat certifikat

Om du vill ersätta ett utgånget certifikat kan hur du uppdaterar certifikatbindningen med det nya certifikatet påverka användarupplevelsen negativt. Din inkommande IP-adress kan till exempel ändras när du tar bort en bindning, även om bindningen är IP-baserad. Detta är särskilt viktigt att ha i åtanke när du förnyar ett certifikat som redan finns i en IP-baserad bindning. Följ dessa steg i ordning för att undvika ändringar i appens IP-adress och för att undvika driftstopp för appen på grund av HTTPS-fel:

1. Upload det nya certifikatet.
2. Bind det nya certifikatet till samma anpassade domän utan att ta bort det befintliga (utgående) certifikatet. Den här åtgärden ersätter bindningen i stället för att ta bort den befintliga certifikatbindningen.
3. Ta bort det befintliga certifikatet.

Förnya ett App Service certifikat

Om du vill växla inställningen för automatisk förnyelse av ditt App Service-certifikat när som helst väljer du certifikatet på sidan App Service-certifikat och klickar sedan på Förnya Inställningar automatiskt i det vänstra navigeringsfönstret. Som standard App Service certifikat en ettårig giltighetsperiod.

Välj På eller Av och klicka på Spara. Certifikat kan börja förnyas automatiskt 31 dagar innan de upphör att gälla om du har aktiverat automatisk förnyelse.

Om du i stället vill förnya certifikatet manuellt klickar du på Förnya manuellt. Du kan begära att certifikatet förnyas manuellt 60 dagar innan det upphör att gälla.

När förnyelseåtgärden är klar klickar du på Synkronisera. Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

Förnya ett certifikat som importerats från Key Vault

Information om hur du förnyar ett certifikat som du App Service till Key Vault certifikat finns i Förnya Azure Key Vault certifikat.

När certifikatet förnyas i nyckelvalvet synkroniserar App Service automatiskt det nya certifikatet och uppdaterar alla tillämpliga TLS/SSL-bindningar inom 24 timmar. Så här synkroniserar du manuellt:

1. Gå till appens TLS/SSL-inställningssida.
2. Välj det importerade certifikatet under Certifikat för privat nyckel.
3. Klicka på Synkronisering.

Hantera App Service certifikat

Det här avsnittet visar hur du hanterar ett App Service som du har köpt.

• Nyckelfärdigt certifikat
• Exportera certifikatet
• Ta bort certifikat

Se även Förnya ett App Service certifikat

Nyckelfärdigt certifikat

Om du tror att certifikatets privata nyckel har komprometterats kan du nyckelfärdiga om certifikatet. Välj certifikatet på sidan App Service certifikat och välj sedan Nyckel nytt och Synkronisera i det vänstra navigeringsfönstret.

Klicka på Nyckel igen för att starta processen. Den här processen kan ta 1–10 minuter att slutföra.

När du gör en ny nyckel för certifikatet återställs certifikatet med ett nytt certifikat som utfärdats från certifikatutfärdaren.

Du kan behöva verifiera domänägarskapet på nytt.

När nyckelåtgärden är klar klickar du på Synkronisera. Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.

Exportera certifikatet

Eftersom en App Service Certificate är en Key Vault hemlighetkan du exportera en PFX-kopia av den och använda den för andra Azure-tjänster eller utanför Azure.

Om du vill App Service Certificate som en PFX-fil kör du följande kommandon i Cloud Shell. Du kan också köra det lokalt om du har installerat Azure CLI. Ersätt platshållarna med de namn som du använde när du skapade App Service certifikatet.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Den nedladdade filen appservicecertificate.pfx är en rå PKCS12-fil som innehåller både offentliga och privata certifikat. Använd en tom sträng för importlösenordet och PEM-passfrasen i varje prompt.

Ta bort certifikat

Borttagningen av ett App Service certifikat är slutgiltig och går inte att ångra. Borttagning av en App Service Certificate resulterar i att certifikatet återkallas. Alla bindningar i App Service med det här certifikatet blir ogiltiga. För att förhindra oavsiktlig borttagning låser Azure certifikatet. Om du vill App Service ett certifikat måste du först ta bort borttagningslåset för certifikatet.

Välj certifikatet på sidan App Service certifikat och välj lås i det vänstra navigeringsfönstret.

Leta reda på låset på certifikatet med låstypen Ta bort. Välj Ta bort till höger om den.

Nu kan du ta bort App Service certifikat. Välj Översikt Ta bort i det vänstra > navigeringsfönstret. I bekräftelsedialogrutan skriver du certifikatets namn och väljer OK.

Automatisera med skript

Azure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Fler resurser

• Skydda ett anpassat DNS-namn med en TLS/SSL-bindning i Azure App Service
• Använda HTTPS
• Använda TLS 1.1/1.2
• Använda ett TLS-/SSL-certifikat i koden i Azure App Service
• Vanliga frågor och svar: App Service certifikat