Обеспечение безопасности пользовательского DNS-имени с привязкой TLS/SSL в Служба приложений

В этой статье показано, как обеспечить безопасность личного домена в приложении Служба приложений или приложении-функции путем создания привязки сертификата. По завершении работы с этой статьей вы сможете получить доступ к приложению Службы приложений в конечной точке https:// для настраиваемого DNS-имени (например, https://www.contoso.com).

Веб-приложение с пользовательским СЕРТИФИКАТом TLS/SSL.

Необходимые компоненты

Добавление привязки

На портале Azure

  1. В меню слева выберите Служба приложений имя><приложения.>

  2. В левой области навигации приложения выберите "Личные домены".

  3. Рядом с личным доменом нажмите кнопку "Добавить привязку".

    Снимок экрана: запуск диалогового окна добавления привязки TLS/SSL.

  4. Если у вашего приложения уже есть сертификат для выбранного личного домена, его можно выбрать в сертификате. В противном случае необходимо добавить сертификат с помощью одного из выбранных элементов в источнике.

    • Создайте управляемый сертификат Служба приложений. Пусть Служба приложений создать управляемый сертификат для выбранного домена. Это самый простой вариант. Дополнительные сведения см. в разделе "Создание бесплатного управляемого сертификата".
    • Импорт сертификата Служба приложений . В Служба приложений Сертификат выберите сертификат Служба приложений, приобретенный для выбранного домена.
    • Отправка сертификата (PFX) — следуйте рабочему процессу при отправке закрытого сертификата , чтобы отправить сертификат PFX с локального компьютера и указать пароль сертификата.
    • Импорт из Key Vault — выберите сертификат хранилища ключей и выберите сертификат в диалоговом окне.
  5. В типе TLS/SSL выберите SSL или SSL на основе SNI.

    • SNI SSL: можно добавить несколько ssl-привязок SNI. Этот параметр позволяет нескольким TLS/SSL-сертификатам защитить несколько доменов в одном IP-адресе. Большинство современных браузеров (включая Microsoft Edge, Chrome, Firefox и Opera) поддерживают SNI. (Дополнительные сведения см. в разделе Указание имени сервера.)
    • SSL на основе IP: можно добавить только одну привязку SSL IP. Этот параметр позволяет защитить выделенный общедоступный IP-адрес только один TLS/SSL-сертификат. После настройки привязки выполните действия, описанные в записях remap для SSL на основе IP-адресов.
      SSL на основе IP-адресов поддерживается только на уровне "Стандартный" или выше.
  6. При добавлении нового сертификата проверьте новый сертификат, выбрав "Проверить".

  7. Выберите Добавить.

    После завершения операции состояние TLS/SSL личного домена изменяется на Secured.

    Снимок экрана: личный домен, защищенный привязкой сертификата.

Примечание.

Защищенное состояние в пользовательских доменах означает, что сертификат обеспечивает безопасность, но Служба приложений не проверяет, является ли сертификат самозаверяющим или истекшим, например, что может привести к возникновению ошибки или предупреждения в браузерах.

Переназначение записей для SSL на основе IP-адресов

Этот шаг необходим только для SSL на основе IP-адресов. Для привязки SSL SNI перейдите к разделу Test HTTPS.

Возможно, необходимо внести два изменения:

  • По умолчанию приложение использует общий общедоступный IP-адрес. После привязки сертификата с помощью SSL на основе IP Служба приложений создает выделенный IP-адрес для вашего приложения. Если с приложением сопоставлена запись A, обновите реестр домена, указав этот новый выделенный IP-адрес.

    Он появится на странице Личный домен вашего приложения. Скопируйте этот IP-адрес, а затем переназначьте запись A на новый IP-адрес.

  • Если у вас есть привязка <app-name>.azurewebsites.netSSL SNI, переместите любое сопоставление CNAME, чтобы указать вместо sni.<app-name>.azurewebsites.net этого. (Добавьте sni префикс.)

Тестирование HTTPS

https://<your.custom.domain> Перейдите в различные браузеры, чтобы убедиться, что ваше приложение отображается.

Снимок экрана: пример просмотра в личный домен. Выделен URL-адрес contoso.com.

Код приложения может проверить протокол с помощью заголовка x-appservice-proto . Заголовок имеет значение http или https.

Примечание.

Если приложение выдает ошибки проверки сертификата, вероятно, вы используете самозаверяющий сертификат.

Если это не так, возможно, вы оставили промежуточные сертификаты при экспорте сертификата в PFX-файл.

Часто задаваемые вопросы

Разделы справки убедитесь, что IP-адрес приложения не изменяется при внесении изменений в привязку сертификата?

Входящий IP-адрес может измениться после удаления привязки, даже если привязка сделана на базе SSL на основе IP. Это особенно важно при обновлении сертификата, который уже связан с привязкой SSL на основе IP. Чтобы избежать изменения IP-адреса приложения, выполните следующие действия.

  1. Передайте новый сертификат.
  2. Привяжите новый сертификат к пользовательскому домену, не удаляя старый сертификат. Таким образом вы замените привязку, а не удалите старый сертификат.
  3. Удалите старый сертификат.

Можно ли отключить принудительное перенаправление с HTTP на HTTPS?

По умолчанию Служба приложений принудительно перенаправляет http-запросы на HTTPS. Сведения об отключении этого поведения см. в разделе "Настройка общих параметров".

Как изменить минимальные версии TLS для приложения?

Приложение по умолчанию разрешает применение TLS версии 1.2, которая является рекомендуемой в соответствии с такими отраслевыми стандартами, как PCI DSS. Сведения о применении различных версий TLS см. в разделе "Настройка общих параметров".

Разделы справки обрабатывать завершение TLS в Служба приложений?

В Службе приложений терминирование TLS происходит в подсистеме балансировки нагрузки сети, поэтому все HTTPS-запросы достигают вашего приложения в виде незашифрованных HTTP-запросов. Если логика приложения должна проверить, шифруются ли запросы пользователей, проверьте X-Forwarded-Proto заголовок.

Руководства по настройке для конкретного языка, такие как руководство по настройке linux Node.js, показано, как обнаружить сеанс HTTPS в коде приложения.

Автоматизация с помощью сценариев

Azure CLI

Привязка пользовательского TLS/SSL-сертификата к веб-приложению

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled