Vytvoření a správa certifikátu služby App Service pro vaši webovou aplikaci

Tento článek ukazuje, jak vytvořit certifikát služby App Service a provádět úlohy správy, jako je obnovení, synchronizace a odstranění certifikátů. Jakmile máte certifikát služby App Service, můžete ho naimportovat do aplikace App Service. Certifikát služby App Service je privátní certifikát, který spravuje Azure. Kombinuje jednoduchost automatizované správy certifikátů a flexibilitu možností obnovení a exportu.

Pokud si koupíte certifikát služby App Service z Azure, Azure spravuje následující úlohy:

  • Zpracovává proces nákupu od GoDaddy.
  • Provede ověření domény certifikátu.
  • Udržuje certifikát ve službě Azure Key Vault.
  • Spravuje obnovení certifikátu.
  • Synchronizuje certifikát automaticky s importovanými kopiemi v aplikacích app Service.

Poznámka:

Po nahrání certifikátu do aplikace se certifikát uloží v jednotce nasazení, která je svázaná se skupinou prostředků, oblastí a operačním systémem plánu služby App Service, interně označovanou jako webspace. Certifikát je tak přístupný pro jiné aplikace ve stejné kombinaci skupin prostředků a oblastí. Certifikáty nahrané nebo importované do služby App Service se sdílí se službou App Services ve stejné jednotce nasazení.

Požadavky

Poznámka:

V současné době se v národních cloudech Azure nepodporují certifikáty služby App Service.

Zakoupení a konfigurace certifikátu služby App Service

Zakoupení certifikátu

  1. Přejděte na stránku Vytvořit certifikát služby App Service a spusťte nákup.

    Poznámka:

    Certifikáty služby App Service zakoupené v Azure vydává GoDaddy. U některých domén je nutné explicitně povolit GoDaddy jako vystavitele certifikátu vytvořením záznamu domény CAA s hodnotou 0 issue godaddy.com.

    Snímek obrazovky s podoknem Vytvořit certifikát služby App Service s možnostmi nákupu

  2. Ke konfiguraci certifikátu použijte následující tabulku. Až budete hotovi, vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

    Nastavení Popis
    Předplatné Předplatné Azure, které se má přidružit k certifikátu.
    Skupina prostředků Skupina prostředků, která bude obsahovat certifikát. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat stejnou skupinu prostředků jako aplikaci App Service.
    Skladová jednotka (SKU) Určuje typ certifikátu, který se má vytvořit, buď standardní certifikát, nebo zástupný certifikát.
    Název hostitele nahé domény Zadejte kořenovou doménu. Vystavený certifikát poskytuje zabezpečení kořenové domény i www subdomény. V vydaném certifikátu určuje pole Běžný název kořenovou doménu a pole Alternativní název subjektu určuje www doménu. Pokud chcete zajistit zabezpečení pouze pro subdoménu, zadejte plně kvalifikovaný název domény pro subdoménu, mysubdomain.contoso.comnapříklad .
    Název certifikátu Popisný název certifikátu služby App Service
    Povolení automatického prodlužování platnosti Vyberte, jestli se má certifikát před vypršením platnosti automaticky obnovit. Každé prodloužení platnosti certifikátu prodlouží o jeden rok. Poplatky se účtují za vaše předplatné.
  3. Po dokončení nasazení vyberte Přejít k prostředku.

Uložení certifikátu ve službě Azure Key Vault

Key Vault je služba Azure, která pomáhá chránit kryptografické klíče a tajné kódy používané cloudovými aplikacemi a službami. Pro certifikáty služby App Service doporučujeme používat službu Key Vault. Po dokončení procesu nákupu certifikátu musíte před použitím certifikátu dokončit několik dalších kroků.

  1. Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce certifikátu vyberte Konfigurace>certifikátu Krok 1: Uložení.

    Snímek obrazovky s podoknem Konfigurace certifikátu s vybranou možností Krok 1: Uložit

  2. Na stránce Stav služby Key Vault vyberte Vybrat ze služby Key Vault.

  3. Pokud vytvoříte nový trezor, nastavte trezor na základě následující tabulky a nezapomeňte použít stejné předplatné a skupinu prostředků jako aplikaci App Service.

    Nastavení Popis
    Skupina prostředků Doporučeno: Stejná skupina prostředků jako certifikát služby App Service.
    Název trezoru klíčů Jedinečný název, který používá pouze alfanumerické znaky a pomlčky.
    Oblast Stejné umístění jako vaše aplikace App Service
    Cenová úroveň Informace najdete v podrobnostech o cenách služby Azure Key Vault.
    Dny pro uchovávání odstraněných trezorů Počet dní po odstranění zůstanou objekty obnovitelné. (Viz Přehled obnovitelného odstranění ve službě Azure Key Vault.) Nastavte hodnotu mezi 7 a 90.
    Ochrana před vymazáním Povolením této možnosti vynutíte, aby všechny odstraněné objekty zůstaly ve stavu obnovitelného odstranění po celou dobu trvání doby uchovávání.
  4. Vyberte Další a pak vyberte Zásady přístupu trezoru. Certifikáty služby App Service v současné době podporují pouze zásady přístupu ke službě Key Vault, nikoli model RBAC.

  5. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

  6. Po vytvoření trezoru klíčů nevybírejte Možnost Přejít k prostředku. Počkejte na opětovné načtení trezoru klíčů Ze služby Azure Key Vault na stránce Vybrat trezor klíčů.

  7. Zvolte Zvolit.

  8. Po výběru trezoru zavřete stránku úložiště služby Key Vault. Možnost Krok 1: Store by měla zobrazovat zelenou značku zaškrtnutí, která značí úspěch. Nechte stránku otevřenou pro další krok.

Potvrzení vlastnictví domény

  1. Na stejné stránce Konfigurace certifikátu jako v předchozí části vyberte Krok 2: Ověření.

    Snímek obrazovky s podoknem Konfigurace certifikátu s vybranou možností Krok 2: Ověření

  2. Vyberte ověření služby App Service. Vzhledem k tomu, že jste doménu namapovali na webovou aplikaci dříve v této části, je už doména ověřená. Chcete-li dokončit tento krok, stačí vybrat Ověřit a potom vybrat Aktualizovat , dokud se nezobrazí zpráva Certifikát je Ověřená doména.

Podporují se následující metody ověření domény:

metoda Popis
Ověření služby App Service Nejpohodlnější možnost, když je doména už namapovaná na aplikaci App Service ve stejném předplatném, protože aplikace App Service už ověřila vlastnictví domény. Zkontrolujte poslední krok v části Potvrzení vlastnictví domény.
Ověření domény Potvrďte doménu služby App Service, kterou jste zakoupili v Azure. Azure za vás automaticky přidá ověřovací záznam TXT a proces dokončí.
Ověření pošty Potvrďte doménu odesláním e-mailu správci domény. Pokyny jsou k dispozici, když vyberete možnost.
Ruční ověření Potvrďte doménu pomocí záznamu DNS TXT nebo stránky HTML. (Tato možnost se vztahuje pouze na standardní certifikáty. Viz následující poznámka.) Kroky jsou k dispozici po výběru možnosti. Možnost stránky HTML nefunguje u webových aplikací s povoleným protokolem HTTPS. Pro ověření domény prostřednictvím záznamu DNS TXT pro kořenovou doménu (například contoso.com) nebo subdoménu (například www.contoso.com ) test.api.contoso.coma bez ohledu na skladovou položku certifikátu je potřeba přidat záznam TXT na úrovni kořenové domény, který použije @ pro název a ověřovací token domény pro hodnotu v záznamu DNS.

Důležité

Pomocí standardního certifikátu získáte certifikát pro požadovanou doménu nejvyšší úrovně a subdoménu www , například contoso.com a www.contoso.com. Ověření služby App Service i ruční ověření však používají ověření stránky HTML, které nepodporuje subdoménu www při vydávání, opětovném vytvoření klíče nebo obnovení certifikátu. Pro standardní certifikát použijte ověření domény a ověření pošty k zahrnutí www subdomény s požadovanou doménou nejvyšší úrovně v certifikátu.

Jakmile je certifikát ověřený doménou, můžete ho importovat do aplikace App Service.

Viz Prodloužení platnosti certifikátu služby App Service

Ve výchozím nastavení mají certifikáty služby App Service jednoleté období platnosti. Před datem vypršení platnosti můžete certifikáty služby App Service automaticky nebo ručně obnovit v přírůstcích o jeden rok. Procesem prodloužení získáte nový certifikát služby App Service s datem platnosti prodlouženým na jeden rok od data vypršení platnosti stávajícího certifikátu.

Poznámka:

Od 23. září 2021 vyžadují certifikáty služby App Service ověření domény během procesu obnovení, automatického prodlužování platnosti nebo opětovného vytvoření klíče. Nové pořadí certifikátů zůstane během procesu obnovení, automatického prodlužování platnosti nebo opětovného vytvoření klíče v režimu čekání na vystavení, dokud neukončíte ověření domény.

Na rozdíl od bezplatného spravovaného certifikátu služby App Service nemají zakoupené certifikáty služby App Service automatické opětovné ověření domény. Ověření vlastnictví domény způsobí neúspěšné obnovení. Další informace o tom, jak ověřit certifikát služby App Service, najdete v tématu Potvrzení vlastnictví domény.

Proces obnovení vyžaduje, aby instanční objekt pro službu App Service má požadovaná oprávnění k vašemu trezoru klíčů. Tato oprávnění jsou pro vás nastavená při importu certifikátu služby App Service prostřednictvím webu Azure Portal. Ujistěte se, že tato oprávnění neodeberete z trezoru klíčů.

  1. Pokud chcete kdykoli změnit nastavení automatického prodlužování platnosti certifikátu služby App Service, vyberte certifikát na stránce Certifikáty služby App Service.

  2. V nabídce vlevo vyberte Automaticky obnovit nastavení.

  3. Vyberte Zapnuto nebo Vypnuto a pak vyberte Uložit.

    Pokud zapnete automatické prodlužování platnosti, certifikáty se můžou začít automaticky obnovovat po dobu 32 dnů před vypršením platnosti.

    Snímek obrazovky s nastavením automatického prodlužování platnosti zadaného certifikátu

  4. Pokud chcete certifikát obnovit ručně, vyberte Ruční obnovení. Můžete požádat o ruční obnovení certifikátu 60 dní před vypršením platnosti, ale certifikáty se nedají vydat déle než 397 dnů.

  5. Po dokončení operace obnovení vyberte Synchronizovat.

    Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.

    Poznámka:

    Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.

Obnovení klíče certifikátu služby App Service

Pokud se domníváte, že je privátní klíč vašeho certifikátu ohrožený, můžete certifikát znovu naklíčit. Tato akce otočí certifikát novým certifikátem vydaným od certifikační autority.

  1. Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce vlevo vyberte Možnost Znovu na klíč a Synchronizovat.

  2. Proces spustíte tak, že vyberete Tlačítko Znovu. Dokončení tohoto procesu může trvat 1 až 10 minut.

    Snímek obrazovky opětovného vytvoření klíče certifikátu služby App Service

  3. Je také možné, že budete muset znovu potvrdit vlastnictví domény.

  4. Po dokončení operace opětovného vytvoření klíče vyberte Synchronizovat.

    Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.

    Poznámka:

    Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.

Export certifikátu služby App Service

Protože certifikát služby App Service je tajný klíč služby Key Vault, můžete kopii exportovat jako soubor PFX, který můžete použít pro jiné služby Azure nebo mimo Azure.

Důležité

Exportovaný certifikát je nespravovaný artefakt. Služba App Service nesynchronizuje takové artefakty při obnovení certifikátu služby App Service. V případě potřeby je nutné vyexportovat a nainstalovat obnovený certifikát.

  1. Na stránce Certifikáty služby App Service vyberte certifikát.

  2. V nabídce vlevo vyberte Exportovat certifikát.

  3. Vyberte Otevřít tajný klíč služby Key Vault.

  4. Vyberte aktuální verzi certifikátu.

  5. Vyberte Stáhnout jako certifikát.

Stažený soubor PFX je nezpracovaný soubor PKCS12, který obsahuje veřejné i privátní certifikáty a má heslo pro import, které je prázdné. Soubor můžete nainstalovat místně tak, že pole s heslem ponecháte prázdné. Soubor nemůžete nahrát tak, jak je, do služby App Service , protože soubor není chráněný heslem.

Použití azure Advisoru pro certifikát služby App Service

Certifikát služby App Service je integrovaný se službou Azure Advisor , aby poskytoval doporučení pro spolehlivost, pokud certifikát vyžaduje ověření domény. Vlastnictví domény pro váš certifikát je nutné ověřit během obnovování, automatického prodlužování platnosti nebo opětovného vytvoření klíče, pokud jste doménu během posledních 395 dnů neověřili. Abyste měli jistotu, že nezmeškáte žádný certifikát, který vyžaduje ověření nebo riskuje vypršení platnosti certifikátu, můžete azure Advisor zmeškat a nastavit upozornění na certifikát služby App Service.

Zobrazit doporučení Advisoru

Zobrazení doporučení Advisoru pro certifikát služby App Service:

  1. Přejděte na stránku Azure Advisoru.

  2. V nabídce vlevo vyberte Doporučení>spolehlivost.

  3. Vyberte možnost filtru Typ se rovná a v rozevíracím seznamu vyhledejte certifikáty služby App Service. Pokud hodnota v rozevírací nabídce neexistuje, znamená to, že pro prostředky certifikátu služby App Service se nevygenerovalo žádné doporučení, protože žádný z nich nevyžaduje ověření vlastnictví domény.

Vytváření upozornění Advisoru

Upozornění Azure Advisoru na nová doporučení vytvoříte pomocí různých konfigurací. Pokud chcete nastavit upozornění Advisoru speciálně pro certifikát App Serivice, abyste mohli dostávat oznámení, když certifikát vyžaduje ověření vlastnictví domény:

  1. Přejděte na stránku Azure Advisoru.

  2. V nabídce vlevo vyberte Upozornění monitorování>(Preview)

  3. Na panelu akcí v horní části klikněte na + Upozornění nového poradce . Otevře se nové okno s názvem Vytvořit upozornění advisoru.

  4. V části Podmínka vyberte následující:

    Nakonfigurované Typ doporučení
    Typ doporučení Ověření domény vyžadované pro vydání certifikátu App Service Certificate
  5. Vyplňte zbývající požadovaná pole a pak v dolní části vyberte tlačítko Vytvořit upozornění .

Odstranění certifikátu služby App Service

Pokud odstraníte certifikát služby App Service, operace odstranění je nevratná a konečná. Výsledkem je odvolaný certifikát a jakákoli vazba ve službě App Service, která certifikát používá, je neplatná.

  1. Na stránce Certifikáty služby App Service vyberte certifikát.

  2. V nabídce vlevo vyberte Odstranit přehled>.

  3. Po otevření potvrzovací pole zadejte název certifikátu a pak vyberte OK.

Nejčastější dotazy

Certifikát služby App Service nemá ve službě Key Vault žádnou hodnotu.

Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití. Jako tajný klíč služby Key Vault udržuje Initialize značku a její hodnota a typ obsahu zůstanou prázdné. Po potvrzení vlastnictví domény se tajný klíč trezoru klíčů zobrazí hodnotu a typ obsahu a značka se změní na Ready.

Nemůžu exportovat certifikát služby App Service pomocí PowerShellu

Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití.

Jaké změny provede proces vytvoření certifikátu služby App Service v mém existujícím trezoru klíčů?

Proces vytvoření provede následující změny:

  • Přidá do trezoru dvě zásady přístupu:
    • Microsoft.Azure.WebSites (nebo Microsoft Azure App Service)
    • Poskytovatel prostředků CSM (nebo Microsoft.Azure.CertificateRegistration) prodejce certifikátů Microsoftu
  • Vytvoří zámek odstranění volaný AppServiceCertificateLock v trezoru, aby se zabránilo náhodnému odstranění trezoru klíčů.