Vytvoření a správa certifikátu služby App Service pro vaši webovou aplikaci
Tento článek ukazuje, jak vytvořit certifikát služby App Service a provádět úlohy správy, jako je obnovení, synchronizace a odstranění certifikátů. Jakmile máte certifikát služby App Service, můžete ho naimportovat do aplikace App Service. Certifikát služby App Service je privátní certifikát, který spravuje Azure. Kombinuje jednoduchost automatizované správy certifikátů a flexibilitu možností obnovení a exportu.
Pokud si koupíte certifikát služby App Service z Azure, Azure spravuje následující úlohy:
- Zpracovává proces nákupu od GoDaddy.
- Provede ověření domény certifikátu.
- Udržuje certifikát ve službě Azure Key Vault.
- Spravuje obnovení certifikátu.
- Synchronizuje certifikát automaticky s importovanými kopiemi v aplikacích app Service.
Poznámka:
Po nahrání certifikátu do aplikace se certifikát uloží v jednotce nasazení, která je svázaná se skupinou prostředků, oblastí a operačním systémem plánu služby App Service, interně označovanou jako webspace. Certifikát je tak přístupný pro jiné aplikace ve stejné kombinaci skupin prostředků a oblastí. Certifikáty nahrané nebo importované do služby App Service se sdílí se službou App Services ve stejné jednotce nasazení.
Požadavky
- Vytvořte aplikaci App Service. Plán služby App Service aplikace musí být na úrovni Basic, Standard, Premium nebo Isolated. Informace o aktualizaci vrstvy najdete v tématu Vertikální navýšení kapacity aplikace .
Poznámka:
V současné době se v národních cloudech Azure nepodporují certifikáty služby App Service.
Zakoupení a konfigurace certifikátu služby App Service
Zakoupení certifikátu
Přejděte na stránku Vytvořit certifikát služby App Service a spusťte nákup.
Poznámka:
Certifikáty služby App Service zakoupené v Azure vydává GoDaddy. U některých domén je nutné explicitně povolit GoDaddy jako vystavitele certifikátu vytvořením záznamu domény CAA s hodnotou
0 issue godaddy.com
.Ke konfiguraci certifikátu použijte následující tabulku. Až budete hotovi, vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.
Nastavení Popis Předplatné Předplatné Azure, které se má přidružit k certifikátu. Skupina prostředků Skupina prostředků, která bude obsahovat certifikát. Můžete buď vytvořit novou skupinu prostředků, nebo vybrat stejnou skupinu prostředků jako aplikaci App Service. Skladová jednotka (SKU) Určuje typ certifikátu, který se má vytvořit, buď standardní certifikát, nebo zástupný certifikát. Název hostitele nahé domény Zadejte kořenovou doménu. Vystavený certifikát poskytuje zabezpečení kořenové domény i www
subdomény. V vydaném certifikátu určuje pole Běžný název kořenovou doménu a pole Alternativní název subjektu určujewww
doménu. Pokud chcete zajistit zabezpečení pouze pro subdoménu, zadejte plně kvalifikovaný název domény pro subdoménu,mysubdomain.contoso.com
například .Název certifikátu Popisný název certifikátu služby App Service Povolení automatického prodlužování platnosti Vyberte, jestli se má certifikát před vypršením platnosti automaticky obnovit. Každé prodloužení platnosti certifikátu prodlouží o jeden rok. Poplatky se účtují za vaše předplatné. Po dokončení nasazení vyberte Přejít k prostředku.
Uložení certifikátu ve službě Azure Key Vault
Key Vault je služba Azure, která pomáhá chránit kryptografické klíče a tajné kódy používané cloudovými aplikacemi a službami. Pro certifikáty služby App Service doporučujeme používat službu Key Vault. Po dokončení procesu nákupu certifikátu musíte před použitím certifikátu dokončit několik dalších kroků.
Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce certifikátu vyberte Konfigurace>certifikátu Krok 1: Uložení.
Na stránce Stav služby Key Vault vyberte Vybrat ze služby Key Vault.
Pokud vytvoříte nový trezor, nastavte trezor na základě následující tabulky a nezapomeňte použít stejné předplatné a skupinu prostředků jako aplikaci App Service.
Nastavení Popis Skupina prostředků Doporučeno: Stejná skupina prostředků jako certifikát služby App Service. Název trezoru klíčů Jedinečný název, který používá pouze alfanumerické znaky a pomlčky. Oblast Stejné umístění jako vaše aplikace App Service Cenová úroveň Informace najdete v podrobnostech o cenách služby Azure Key Vault. Dny pro uchovávání odstraněných trezorů Počet dní po odstranění zůstanou objekty obnovitelné. (Viz Přehled obnovitelného odstranění ve službě Azure Key Vault.) Nastavte hodnotu mezi 7 a 90. Ochrana před vymazáním Povolením této možnosti vynutíte, aby všechny odstraněné objekty zůstaly ve stavu obnovitelného odstranění po celou dobu trvání doby uchovávání. Vyberte Další a pak vyberte Zásady přístupu trezoru. Certifikáty služby App Service v současné době podporují pouze zásady přístupu ke službě Key Vault, nikoli model RBAC.
Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.
Po vytvoření trezoru klíčů nevybírejte Možnost Přejít k prostředku. Počkejte na opětovné načtení trezoru klíčů Ze služby Azure Key Vault na stránce Vybrat trezor klíčů.
Zvolte Zvolit.
Po výběru trezoru zavřete stránku úložiště služby Key Vault. Možnost Krok 1: Store by měla zobrazovat zelenou značku zaškrtnutí, která značí úspěch. Nechte stránku otevřenou pro další krok.
Potvrzení vlastnictví domény
Na stejné stránce Konfigurace certifikátu jako v předchozí části vyberte Krok 2: Ověření.
Vyberte ověření služby App Service. Vzhledem k tomu, že jste doménu namapovali na webovou aplikaci dříve v této části, je už doména ověřená. Chcete-li dokončit tento krok, stačí vybrat Ověřit a potom vybrat Aktualizovat , dokud se nezobrazí zpráva Certifikát je Ověřená doména.
Podporují se následující metody ověření domény:
metoda | Popis |
---|---|
Ověření služby App Service | Nejpohodlnější možnost, když je doména už namapovaná na aplikaci App Service ve stejném předplatném, protože aplikace App Service už ověřila vlastnictví domény. Zkontrolujte poslední krok v části Potvrzení vlastnictví domény. |
Ověření domény | Potvrďte doménu služby App Service, kterou jste zakoupili v Azure. Azure za vás automaticky přidá ověřovací záznam TXT a proces dokončí. |
Ověření pošty | Potvrďte doménu odesláním e-mailu správci domény. Pokyny jsou k dispozici, když vyberete možnost. |
Ruční ověření | Potvrďte doménu pomocí záznamu DNS TXT nebo stránky HTML. (Tato možnost se vztahuje pouze na standardní certifikáty. Viz následující poznámka.) Kroky jsou k dispozici po výběru možnosti. Možnost stránky HTML nefunguje u webových aplikací s povoleným protokolem HTTPS. Pro ověření domény prostřednictvím záznamu DNS TXT pro kořenovou doménu (například contoso.com ) nebo subdoménu (například www.contoso.com ) test.api.contoso.com a bez ohledu na skladovou položku certifikátu je potřeba přidat záznam TXT na úrovni kořenové domény, který použije @ pro název a ověřovací token domény pro hodnotu v záznamu DNS. |
Důležité
Pomocí standardního certifikátu získáte certifikát pro požadovanou doménu nejvyšší úrovně a subdoménu www
, například contoso.com
a www.contoso.com
. Ověření služby App Service i ruční ověření však používají ověření stránky HTML, které nepodporuje subdoménu www
při vydávání, opětovném vytvoření klíče nebo obnovení certifikátu. Pro standardní certifikát použijte ověření domény a ověření pošty k zahrnutí www
subdomény s požadovanou doménou nejvyšší úrovně v certifikátu.
Jakmile je certifikát ověřený doménou, můžete ho importovat do aplikace App Service.
Viz Prodloužení platnosti certifikátu služby App Service
Ve výchozím nastavení mají certifikáty služby App Service jednoleté období platnosti. Před datem vypršení platnosti můžete certifikáty služby App Service automaticky nebo ručně obnovit v přírůstcích o jeden rok. Procesem prodloužení získáte nový certifikát služby App Service s datem platnosti prodlouženým na jeden rok od data vypršení platnosti stávajícího certifikátu.
Poznámka:
Od 23. září 2021 vyžadují certifikáty služby App Service ověření domény během procesu obnovení, automatického prodlužování platnosti nebo opětovného vytvoření klíče. Nové pořadí certifikátů zůstane během procesu obnovení, automatického prodlužování platnosti nebo opětovného vytvoření klíče v režimu čekání na vystavení, dokud neukončíte ověření domény.
Na rozdíl od bezplatného spravovaného certifikátu služby App Service nemají zakoupené certifikáty služby App Service automatické opětovné ověření domény. Ověření vlastnictví domény způsobí neúspěšné obnovení. Další informace o tom, jak ověřit certifikát služby App Service, najdete v tématu Potvrzení vlastnictví domény.
Proces obnovení vyžaduje, aby instanční objekt pro službu App Service má požadovaná oprávnění k vašemu trezoru klíčů. Tato oprávnění jsou pro vás nastavená při importu certifikátu služby App Service prostřednictvím webu Azure Portal. Ujistěte se, že tato oprávnění neodeberete z trezoru klíčů.
Pokud chcete kdykoli změnit nastavení automatického prodlužování platnosti certifikátu služby App Service, vyberte certifikát na stránce Certifikáty služby App Service.
V nabídce vlevo vyberte Automaticky obnovit nastavení.
Vyberte Zapnuto nebo Vypnuto a pak vyberte Uložit.
Pokud zapnete automatické prodlužování platnosti, certifikáty se můžou začít automaticky obnovovat po dobu 32 dnů před vypršením platnosti.
Pokud chcete certifikát obnovit ručně, vyberte Ruční obnovení. Můžete požádat o ruční obnovení certifikátu 60 dní před vypršením platnosti, ale certifikáty se nedají vydat déle než 397 dnů.
Po dokončení operace obnovení vyberte Synchronizovat.
Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.
Poznámka:
Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.
Obnovení klíče certifikátu služby App Service
Pokud se domníváte, že je privátní klíč vašeho certifikátu ohrožený, můžete certifikát znovu naklíčit. Tato akce otočí certifikát novým certifikátem vydaným od certifikační autority.
Na stránce Certifikáty služby App Service vyberte certifikát. V nabídce vlevo vyberte Možnost Znovu na klíč a Synchronizovat.
Proces spustíte tak, že vyberete Tlačítko Znovu. Dokončení tohoto procesu může trvat 1 až 10 minut.
Je také možné, že budete muset znovu potvrdit vlastnictví domény.
Po dokončení operace opětovného vytvoření klíče vyberte Synchronizovat.
Operace synchronizace automaticky aktualizuje vazby názvu hostitele pro certifikát ve službě App Service, aniž by to způsobilo výpadky vašich aplikací.
Poznámka:
Pokud nevyberete Možnost Synchronizovat, App Service automaticky synchronizuje certifikát do 24 hodin.
Export certifikátu služby App Service
Protože certifikát služby App Service je tajný klíč služby Key Vault, můžete kopii exportovat jako soubor PFX, který můžete použít pro jiné služby Azure nebo mimo Azure.
Důležité
Exportovaný certifikát je nespravovaný artefakt. Služba App Service nesynchronizuje takové artefakty při obnovení certifikátu služby App Service. V případě potřeby je nutné vyexportovat a nainstalovat obnovený certifikát.
Na stránce Certifikáty služby App Service vyberte certifikát.
V nabídce vlevo vyberte Exportovat certifikát.
Vyberte Otevřít tajný klíč služby Key Vault.
Vyberte aktuální verzi certifikátu.
Vyberte Stáhnout jako certifikát.
Stažený soubor PFX je nezpracovaný soubor PKCS12, který obsahuje veřejné i privátní certifikáty a má heslo pro import, které je prázdné. Soubor můžete nainstalovat místně tak, že pole s heslem ponecháte prázdné. Soubor nemůžete nahrát tak, jak je, do služby App Service , protože soubor není chráněný heslem.
Použití azure Advisoru pro certifikát služby App Service
Certifikát služby App Service je integrovaný se službou Azure Advisor , aby poskytoval doporučení pro spolehlivost, pokud certifikát vyžaduje ověření domény. Vlastnictví domény pro váš certifikát je nutné ověřit během obnovování, automatického prodlužování platnosti nebo opětovného vytvoření klíče, pokud jste doménu během posledních 395 dnů neověřili. Abyste měli jistotu, že nezmeškáte žádný certifikát, který vyžaduje ověření nebo riskuje vypršení platnosti certifikátu, můžete azure Advisor zmeškat a nastavit upozornění na certifikát služby App Service.
Zobrazit doporučení Advisoru
Zobrazení doporučení Advisoru pro certifikát služby App Service:
Přejděte na stránku Azure Advisoru.
V nabídce vlevo vyberte Doporučení>spolehlivost.
Vyberte možnost filtru Typ se rovná a v rozevíracím seznamu vyhledejte certifikáty služby App Service. Pokud hodnota v rozevírací nabídce neexistuje, znamená to, že pro prostředky certifikátu služby App Service se nevygenerovalo žádné doporučení, protože žádný z nich nevyžaduje ověření vlastnictví domény.
Vytváření upozornění Advisoru
Upozornění Azure Advisoru na nová doporučení vytvoříte pomocí různých konfigurací. Pokud chcete nastavit upozornění Advisoru speciálně pro certifikát App Serivice, abyste mohli dostávat oznámení, když certifikát vyžaduje ověření vlastnictví domény:
Přejděte na stránku Azure Advisoru.
V nabídce vlevo vyberte Upozornění monitorování>(Preview)
Na panelu akcí v horní části klikněte na + Upozornění nového poradce . Otevře se nové okno s názvem Vytvořit upozornění advisoru.
V části Podmínka vyberte následující:
Nakonfigurované Typ doporučení Typ doporučení Ověření domény vyžadované pro vydání certifikátu App Service Certificate Vyplňte zbývající požadovaná pole a pak v dolní části vyberte tlačítko Vytvořit upozornění .
Odstranění certifikátu služby App Service
Pokud odstraníte certifikát služby App Service, operace odstranění je nevratná a konečná. Výsledkem je odvolaný certifikát a jakákoli vazba ve službě App Service, která certifikát používá, je neplatná.
Na stránce Certifikáty služby App Service vyberte certifikát.
V nabídce vlevo vyberte Odstranit přehled>.
Po otevření potvrzovací pole zadejte název certifikátu a pak vyberte OK.
Nejčastější dotazy
Certifikát služby App Service nemá ve službě Key Vault žádnou hodnotu.
Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití. Jako tajný klíč služby Key Vault udržuje Initialize
značku a její hodnota a typ obsahu zůstanou prázdné. Po potvrzení vlastnictví domény se tajný klíč trezoru klíčů zobrazí hodnotu a typ obsahu a značka se změní na Ready
.
Nemůžu exportovat certifikát služby App Service pomocí PowerShellu
Váš certifikát služby App Service pravděpodobně ještě není ověřený doménou. Dokud se vlastnictví domény nepotvrdí, váš certifikát služby App Service není připravený k použití.
Jaké změny provede proces vytvoření certifikátu služby App Service v mém existujícím trezoru klíčů?
Proces vytvoření provede následující změny:
- Přidá do trezoru dvě zásady přístupu:
- Microsoft.Azure.WebSites (nebo
Microsoft Azure App Service
) - Poskytovatel prostředků CSM (nebo
Microsoft.Azure.CertificateRegistration
) prodejce certifikátů Microsoftu
- Microsoft.Azure.WebSites (nebo
- Vytvoří zámek odstranění volaný
AppServiceCertificateLock
v trezoru, aby se zabránilo náhodnému odstranění trezoru klíčů.