Azure App Service'de TLS/SSL sertifikası ekleme

Azure App Service, yüksek oranda ölçeklenebilen, kendi kendine düzeltme eki uygulayan bir web barındırma hizmeti sunar. Bu makalede, App Service bir özel sertifika veya ortak sertifika oluşturma, karşıya yükleme veya içeri aktarma işlemlerinin nasıl yapılacağı gösterilir.

Sertifika, App Service uygulamanıza veya işlev uygulamanızaeklendikten sonra özel bir DNS adının güvenliğini sağlayabilir veya uygulama kodunuzda kullanabilirsiniz.

Aşağıdaki tabloda App Service sertifika eklemek için sahip olduğunuz seçenekler listelenmektedir:

Önkoşullar

• App Service uygulaması oluşturun.
• Özel bir sertifika için App Service tüm gereksinimleri karşıladığındanemin olun.
• Yalnızca ücretsiz sertifika:
  • Sertifika istediğiniz etki alanını App Service için eşleyin. Bilgi için bkz. öğretici: mevcut bir özel DNS adını Azure App Service eşleme.
  • Kök etki alanı (contoso.com gibi) için, uygulamanızın yapılandırılmış IP kısıtlamalarına sahip olmadığından emin olun. Hem sertifika oluşturma hem de bir kök etki alanı için düzenli yenileme, uygulamanıza internet 'ten erişilebilmesine bağlıdır.

Özel sertifika gereksinimleri

Ücretsiz App Service yönetilen sertifika ve App Service sertifikası App Service gereksinimlerini zaten karşılamış. App Service bir özel sertifikayı karşıya yüklemeyi veya aktarmayı seçerseniz, sertifikanızın aşağıdaki gereksinimleri karşılaması gerekir:

• Parola KORUMALı pfx dosyasıolarak verildiğinde, Üçlü DES kullanılarak şifrelenir.
• En az 2048 bit uzunluğunda özel anahtar içermesi
• Tüm ara sertifikaları ve sertifika zincirindeki kök sertifikayı içerir.

Bir TLS bağlamasındaki özel bir etki alanının güvenliğini sağlamak için, sertifikanın ek gereksinimleri vardır:

• Sunucu kimlik doğrulaması için bir genişletilmiş anahtar kullanımı IÇERIR (OID = 1.3.6.1.5.5.7.3.1)
• Güvenilir bir sertifika yetkilisi tarafından imzalanması

Web uygulamanızı hazırlama

Özel TLS/SSL bağlamaları oluşturmak veya App Service uygulamanız için istemci sertifikalarını etkinleştirmek üzere App Service planınız temel, Standart, Premium veya yalıtılmış katmanda olmalıdır. Bu adımda, web uygulamanızın desteklenen bir fiyatlandırma katmanında olduğundan emin olacaksınız.

Azure'da oturum açma

Azure portalını açın.

Web uygulamanıza gidin

Uygulama hizmetleri' ni arayıp seçin.

Uygulama hizmetleri sayfasında, Web uygulamanızın adını seçin.

Web uygulamanızın yönetim sayfasına ulaştınız.

Fiyatlandırma katmanını denetleme

Web uygulaması sayfasının sol gezinti bölmesinde Ayarlar bölümüne kaydırın ve Ölçeği artır (App Service planı) öğesini seçin.

Web uygulamanızın F1 veya D1 katmanında olmadığından emin olun. Web uygulamanızın geçerli katmanı koyu mavi bir kutuyla vurgulanır.

F1 veya D1 katmanında özel SSL desteklenmez. Ölçeği artırmanız gerekirse sonraki bölümde verilen adımları izleyin. Aksi takdirde, Ölçek artırma sayfasını kapatın ve App Service planınızı ölçeği büyütme bölümünü atlayın.

App Service planınızın ölçeğini artırma

Ücretsiz olmayan katmanlardan birini seçin (B1, B2, B3, veya Üretim kategorisindeki herhangi bir katmanı). Ek seçenekler için Ek seçeneklere bakın’a tıklayın.

Uygula’ya tıklayın.

Aşağıdaki bildirimi gördüğünüzde, ölçeklendirme işlemi tamamlanmıştır.

Ücretsiz yönetilen sertifika oluşturma

App Service yönetilen ücretsiz sertifika, App Service özel DNS adınızı güvenli hale getirmek için bir açılan anahtar çözümüdür. Bu, App Service tarafından tam olarak yönetilen ve sürekli olarak ve altı aylık artışlarla 45 gün önce otomatik olarak yönetilen bir TLS/SSL sunucu sertifikasıdır. Sertifikayı oluşturur ve özel bir etki alanına bağlayabilir ve geri kalanını App Service izin verin.

Ücretsiz sertifika aşağıdaki sınırlamalara sahiptir:

• Joker sertifikaları desteklemez.
• Sertifika parmak izine göre istemci sertifikası olarak kullanımı desteklemez (sertifika parmak izini kaldırma planlanmaktadır).
• Dışarı aktarılabilir değil.
• Herkese açık olarak erişilebilen App Service desteklenmez.
• App Service Ortamı (Ao) üzerinde desteklenmez.
• , Traffic Manager ile tümleştirilmiş kök etki alanları ile desteklenmez.
• Bir sertifika CNAME eşlenmiş bir etki alanı için ise, CNAME doğrudan ile eşlenmelidir <app-name>.azurewebsites.net .

Azure Portal, sol menüden uygulama hizmetleri' ni seçin > <app-name> .

Uygulamanızın sol gezinti bölmesinde, TLS/SSL ayarları > özel anahtar sertifikaları (. pfx) > App Service yönetilen sertifika oluştur' u seçin.

İçin ücretsiz bir sertifika oluşturmak üzere özel etki alanını seçin ve Oluştur' u seçin. Desteklenen her bir özel etki alanı için yalnızca bir sertifika oluşturabilirsiniz.

İşlem tamamlandığında, sertifikayı özel anahtar sertifikaları listesinde görürsünüz.

App Service Sertifikası içeri aktarma

Azure 'dan bir App Service Sertifikası satın alırsanız Azure aşağıdaki görevleri yönetir:

• GoDaddy adresinden satın alma sürecini ele alır.
• Sertifika için etki alanı doğrulaması gerçekleştirir.
• Azure Key Vault' de sertifikayı korur.
• Sertifika yenilemeyi yönetir (bkz. Sertifikayı Yenile).
• Sertifikayı App Service uygulamalardaki içeri aktarılan kopyalarla otomatik olarak eşitler.

Bir App Service sertifikası satın almak için, Başlangıç sertifikası siparişi' ne gidin.

Zaten çalışan bir App Service sertifikanız varsa şunları yapabilirsiniz:

• Sertifikayı App Service Içine aktarın.
• Sertifikayı, yenileme, yeniden anahtarlama ve dışarı aktarma gibi yönetin.

Sertifika sırasını Başlat

App Service sertifikası oluştur sayfasındabir App Service sertifikası siparişi başlatın.

Sertifikayı yapılandırmanıza yardımcı olması için aşağıdaki tabloyu kullanın. Tamamladığınızda Oluştur’a tıklayın.

Azure Key Vault'da depolama

Sertifika satın alma işlemi tamamlandıktan sonra, bu sertifikayı kullanmaya başlamadan önce tamamlamanız gereken birkaç adım daha vardır.

Sertifikalar sayfasında sertifikayı App Service sonra Sertifika Yapılandırması > 1. Adım: Depola'ya tıklayın.

Key Vault, bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarının ve gizli dizilerin korunmasına yardımcı olan bir Azure hizmetidir. Bu, sertifikalar için tercih App Service depolama alanıdır.

Yeni Key Vault oluşturmak veya mevcut bir kasayı seçmek Key Vault Depo'ya tıklayın. Yeni bir kasa oluşturmak seçerseniz, kasayı yapılandırmanıza yardımcı olmak için aşağıdaki tabloyu kullanın ve Oluştur'a tıklayın. Yeni uygulamayı Key Vault aynı abonelik ve kaynak grubu içinde App Service oluşturun.

Kasayı seçtikten sonra Key Vault Sayfasını kapatın. 1. Adım: Depola seçeneği, başarılı olması için yeşil bir onay işareti göster gerekir. Sonraki adım için sayfayı açık tutma.

Etki alanı sahipliğini doğrulama

Son adımda kullanılan Sertifika Yapılandırması sayfasında 2. Adım: Doğrula'ya tıklayın.

Doğrulamayı App Service seçin. Etki alanını web uygulamanıza zaten eşleyelisiniz (bkz. Önkoşullar),zaten doğrulanmıştır. Bu adımı tamamlamak için Doğrula'ya tıklayın. Sertifika Etki Alanı Doğrulandı iletisi görüntülenene kadar Yenile düğmesine tıklayın.

Sertifikayı App Service

Uygulama Azure portalmenüsünden Uygulama Hizmetleri'ne > <app-name> tıklayın.

Uygulamanın sol gezinti bölmesinde TLS/SSL ayarları Özel Anahtar Sertifikaları > (.pfx) İçeri > Aktarma'App Service Sertifikası.

Yeni satın aldığınız sertifikayı seçin ve Tamam'ı seçin.

İşlem tamamlandığında sertifikayı Özel Anahtar Sertifikaları listesinde görünür.

Sertifikayı Key Vault

Sertifikalarınızı yönetmek Azure Key Vault bir PKCS12 sertifikasını gereksinimlerine uygun olduğu sürece Key Vault'den App Service'ye aktarın.

Kasadan App Service için yetkilendirme

Varsayılan olarak, App Service sağlayıcısının kaynak sağlayıcısına Key Vault. Sertifika dağıtımında bir Key Vault kullanmak için kaynak sağlayıcısına KeyVaultokuma erişimi yetkisi vermeniz gerekir.

abfa0a7c-a6b6-4736-8310-5855508787cd , tüm Azure abonelikleri için App Service sağlayıcısı hizmet sorumlusu adıdır ve tüm Azure abonelikleri için aynıdır. Bulut Azure Kamu için bunun 6a02c803-dafd-4136-b4c3-5a6f318b4714 yerine kaynak sağlayıcısı hizmet sorumlusu adını kullanın.

Kasadan uygulamanıza sertifika aktarma

Uygulama Azure portalmenüsünden Uygulama Hizmetleri'ne > <app-name> tıklayın.

Uygulamanın sol gezinti bölmesinde TLS/SSL ayarları Özel Anahtar Sertifikaları > (.pfx) Sertifikayı İçeri > Aktar'Key Vault seçin.

Sertifikayı seçmenize yardımcı olmak için aşağıdaki tabloyu kullanın.

İşlem tamamlandığında sertifikayı Özel Anahtar Sertifikaları listesinde görünür. İçeri aktarma işlemi bir hatayla başarısız olursa sertifika, sertifikanın App Service.

Upload sertifikayı seçin

Sertifika sağlayıcınızdan bir sertifika edinen, sertifikayı sertifika için hazır hale App Service.

Ara sertifikaları birleştirme

Sertifika yetkiliniz size sertifika zincirinde birden çok sertifika verirse, sertifikaları sırayla birleştirmeniz gerekir.

Bunu yapmak için, aldığınız her sertifikayı bir metin düzenleyicisinde açın.

Birleştirilmiş sertifika için mergedcertificate.crt adlı bir dosya oluşturun. Bir metin düzenleyicisinde her bir sertifikanın içeriğini bu dosyaya kopyalayın. Sertifikalarınızın sırası, sertifikanızla başlayıp kök sertifika ile sona ererek sertifika zincirindeki sırayla aynı olmalıdır. Aşağıdaki örneğe benzer şekilde görünür:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Sertifikayı PFX dosyasına aktarma

Birleştirilen TLS/SSL sertifikanızı, sertifika isteğinizin birlikte oluşturulmuş olduğu özel anahtarla dışarı aktarın.

Sertifika isteğinizi OpenSSL kullanarak oluşturduysanız bir özel anahtar dosyası oluşturduğunuz anlamına gelir. Sertifikanızı PFX dosyasına aktarmak için aşağıdaki komutu çalıştırın. < private-key-file ve merged-certificate-file> yer tutucularını <> ve birleştirilmiş sertifika dosyanıza giden yollarla değiştirin.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Sorulduğunda bir dışarı aktarma parolası tanımlayın. TlS/SSL sertifikanızı daha sonra sertifikanıza yüklerken bu App Service kullanacağız.

Sertifika isteğinizi oluşturmak için IIS veya Certreq.exe kullandıysanız, sertifikayı yerel makinenize yükleyin ve sonra sertifikayı PFX’e aktarın.

Upload sertifikayı App Service

Artık sertifikayı sertifikayı App Service.

Uygulama Azure portalmenüsünden Uygulama Hizmetleri'ne > <app-name> tıklayın.

Uygulamanın sol gezinti bölmesinden TLS/SSL ayarları Özel Anahtar Sertifikaları > (.pfx) seçeneğini Upload > seçin.

PFX Sertifika Dosyası’nda PFX dosyanızı seçin. Sertifika parolası alanına PFX dosyasını dışa aktardığınızda oluşturduğunuz parolayı yazın. Tamamlandığında, öğesini Upload.

İşlem tamamlandığında sertifikayı Özel Anahtar Sertifikaları listesinde görünür.

Upload sertifikayı taşıma

Ortak sertifikalar .cer biçiminde de desteklemektedir.

Uygulama Azure portalmenüsünden Uygulama Hizmetleri'ne > <app-name> tıklayın.

Uygulamanın sol gezinti bölmesinde TLS/SSL ayarları Ortak > Sertifikalar (.cer) > ve Ortak Anahtar Upload'a tıklayın.

Ad'a sertifika için bir ad yazın. CER Sertifika dosyasında CER dosyanızı seçin.

Karşıya Yükle'ye tıklayın.

Sertifika karşıya yüklendiktan sonra sertifika parmak izini kopyalayın ve bkz. Sertifikayı erişilebilir yapma.

Süresi dolan sertifikayı yenileme

Bir sertifikanın süresi dolmadan önce, yenilenen sertifikayı sertifikaya eklemeniz App Service TLS/SSL bağlamasını güncelleştirmeniz gerekir. İşlem, sertifika türüne bağlıdır. Örneğin, Key Vaultsertifikası dahil olmak üzere App Service'den içe aktarılan bir sertifika, 24 saatte bir App Service ile otomatik olarak eşitlenir ve sertifikayı yenilerken TLS/SSL bağlamasını günceller. Karşıya yüklenen bir sertifika içinotomatik bağlama güncelleştirmesi yoktur. Senaryoya bağlı olarak aşağıdaki bölümlerden birini görme:

• Karşıya yüklenen sertifikayı yenileme
• Sertifikayı App Service yenileme
• Key Vault'den içe aktarılan bir sertifikayı yenileme

Karşıya yüklenen sertifikayı yenileme

Süresi dolan bir sertifikayı değiştirmek için, sertifika bağlamasını yeni sertifikayla güncelleştirmeniz kullanıcı deneyimini olumsuz etkileyebilir. Örneğin, bağlama IP tabanlı olsa bile bir bağlamayı silebilirsiniz. Bu, zaten IP tabanlı bağlamada yer alan bir sertifikayı yenilerken özellikle önemlidir. Uygulamanın IP adresi değişikliğini önlemek ve HTTPS hataları nedeniyle uygulamanıza kapalı kalma süresini önlemek için aşağıdaki adımları sırasıyla izleyin:

1. Upload sertifikayı seçin.
2. Mevcut (süresi dolan) sertifikayı silmeden yeni sertifikayı aynı özel etki alanına bağlayın. Bu eylem, mevcut sertifika bağlamasını kaldırmak yerine bağlamanın yerini almaktadır.
3. Mevcut sertifikayı silin.

Sertifikayı App Service yenileme

App Service sertifikanız için otomatik yenileme ayarını istediğiniz zaman değiştirmek için, App Service Sertifikaları sayfasında sertifikayı seçin ve ardından sol gezinti bölmesinde otomatik Ayarlar'a tıklayın. Varsayılan olarak, App Service sertifikaların geçerlilik süresi bir yıl olur.

Kapalı veya Kapalı'yı seçin ve Kaydet'e tıklayın. Otomatik yenileme açıksa, sertifikalar süresi dolmadan 31 gün önce otomatik olarak yenilenmeye başlayabilir.

Bunun yerine sertifikayı el ile yenilemek için El ile Yenile'ye tıklayın. Sertifikanızı süresi dolmadan 60 gün önce el ile yenileme isteği yapabilirsiniz.

Yenileme işlemi tamamlandıktan sonra Eşitle'ye tıklayın. Eşitleme işlemi, uygulamalarınız için kapalı kalma süresine neden olmadan App Service sertifikanın konak adı bağlamalarını otomatik olarak günceller.

Key Vault'den içe aktarılan bir sertifikayı yenileme

bir sertifikadan App Service sertifikanızı Key Vault için bkz. Azure Key Vault sertifikanızı yenileme.

Sertifika anahtar kasanıza yenilendiktan sonra App Service otomatik olarak eşitlenir ve geçerli TLS/SSL bağlamasını 24 saat içinde günceller. El ile eşitlemek için:

1. Uygulamanın TLS/SSL ayarları sayfasına gidin.
2. Özel Anahtar Sertifikaları altında içe aktarılan sertifikayı seçin.
3. Eşitle'ye tıklayın.

Sertifika App Service yönetme

Bu bölümde, satın aldığınız bir App Service nasıl yönetebilirsiniz?

• Sertifikayı yeniden anahtarla
• Sertifikayı dışarı aktarma
• Sertifikayı silme

Ayrıca bkz. App Service sertifikasını yenileme

Sertifikayı yeniden anahtarla

Sertifikanın özel anahtarının tehlikeye atılmış olduğunu düşünüyorsanız sertifikanızı yeniden anahtarlamanız gerekir. Sertifikalar sayfasında sertifikayı App Service sonra sol gezinti bölmesinden Yeniden Anahtarla ve Eşitle'yi seçin.

Işlemi başlatmak için Yeniden Anahtarla'ya tıklayın. Bu sürecin tamamlanması 1-10 dakika sürebilir.

Sertifikanızı yeniden anahtarlama, sertifikayı sertifika yetkiliden verilen yeni bir sertifikayla birlikte teslim ediyor.

Etki alanı sahipliğini yeniden doğrulamanız gerekebilir.

Yeniden anahtarlama işlemi tamamlandıktan sonra Eşitle'ye tıklayın. Eşitleme işlemi, uygulamalarınız için kapalı kalma süresine neden olmadan App Service sertifikanın konak adı bağlamalarını otomatik olarak günceller.

Sertifikayı dışarı aktarma

Bir App Service Sertifikası gizli Key Vaultolduğundan, bir PFX kopyasını dışarı aktararak diğer Azure hizmetleri veya Azure dışında kullanabilirsiniz.

Dosyayı PFX App Service Sertifikası olarak dışarı aktaracak şekilde, aşağıdaki komutları Cloud Shell. Azure CLI'sini yüklemiş de yerel olarak çalıştırabilirsiniz. Yer tutucuları, sertifikayı oluşturulduğunda kullanılan adlarla App Service değiştirin.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

İndirilen appservicecertificate.pfx dosyası, hem ortak hem de özel sertifikaları içeren ham bir PKCS12 dosyasıdır. Her istemde, içeri aktarma parolası ve PEM geçiş tümceciği için boş bir dize kullanın.

Sertifikayı silme

Bir sertifikanın App Service son ve geri alınamaz. Bir kaynak App Service Sertifikası silinmesi, sertifikanın iptal edildiğine neden olur. Bu sertifikayla App Service bağlama geçersiz hale gelir. Azure, yanlışlıkla silinmesini önlemek için sertifikaya kilit koyar. Bir sertifikayı App Service için önce sertifikanın silme kilidini kaldırmanız gerekir.

App Service sertifikaları sayfasında sertifikayı seçin ve ardından sol gezinti bölmesinde kilitler ' ı seçin.

Kilit türü silme ile sertifikanıza yönelik kilidi bulun. Sağ tarafta Sil' i seçin.

Artık App Service sertifikasını silebilirsiniz. Sol gezinmede genel bakış > Sil' i seçin. Onay iletişim kutusunda, sertifika adını yazın ve Tamam' ı seçin.

Betiklerle otomatikleştirme

Azure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Diğer kaynaklar

• Azure App Service 'de TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama
• HTTPS'yi zorunlu tutma
• TLS 1.1/1.2 zorlama
• Azure App Service'te kodunuzda TLS/SSL sertifikası kullanma
• SSS: sertifikalar App Service