Создание сертификата Служба приложений для веб-приложения и управление ими

В этой статье показано, как создать сертификат Служба приложений и выполнять такие задачи управления, как продление, синхронизация и удаление сертификатов. После получения сертификата Служба приложений его можно импортировать в приложение Служба приложений. Сертификат Служба приложений — это частный сертификат, управляемый Azure. Он сочетает простоту автоматического управления сертификатами и гибкость возможностей продления и экспорта.

Если вы приобрели сертификат Службы приложений из Azure, то Azure управляет следующими задачами:

  • осуществляет процесс покупки на GoDaddy;
  • выполняет проверку домена сертификата;
  • хранит сертификат в Azure Key Vault;
  • управляет обновлением сертификата;
  • автоматически синхронизирует сертификат с импортированными копиями в приложениях Службы приложений.

Примечание.

После отправки сертификата в приложение он хранится в единице развертывания, которая привязана к сочетанию группы ресурсов, региона и операционной системы плана службы приложений, внутреннее название — веб-пространство. Таким образом, сертификат будет доступен для других приложений в том же сочетании группы ресурсов и региона. Сертификаты, отправленные или импортированные в Служба приложений, совместно используются Служба приложений в одной единице развертывания.

Необходимые компоненты

Примечание.

В настоящее время Служба приложений сертификаты не поддерживаются в национальных облаках Azure.

Приобретение и настройка сертификата Служба приложений

Приобретение сертификата

  1. Перейдите на страницу создания сертификата Служба приложений, чтобы начать покупку.

    Примечание.

    Сертификаты службы приложений, приобретенные в Azure, выдаются GoDaddy. Для некоторых доменов необходимо явно разрешить GoDaddy в качестве издателя сертификата, создав запись домена CAA со значением 0 issue godaddy.com.

    Снимок экрана: панель создания сертификатов Служба приложений с параметрами покупки.

  2. Чтобы настроить сертификат, используйте следующую таблицу. После завершения нажмите кнопку "Проверить и создать", а затем нажмите кнопку "Создать".

    Параметр Description
    Подписка Подписка Azure, связанная с сертификатом.
    Группа ресурсов Группа ресурсов, которая будет содержать сертификат. Например, можно создать новую группу ресурсов или выбрать ту же группу ресурсов, что и для приложения Службы приложений.
    SKU Определяет тип создаваемого сертификата независимо от того, является ли сертификат стандартным или групповым.
    Имя узла голого домена Укажите корневой домен. Выданный сертификат обеспечивает безопасность как корневого домена, так и www поддомена. В выданном сертификате поле Common Name (Общее имя) указывает корневой домен, а поле Subject Alternative Name (Альтернативное имя субъекта) — домен www. Чтобы обеспечить безопасность только поддомена, укажите полное доменное имя для поддомена, например mysubdomain.contoso.com.
    Имя сертификата Понятное имя сертификата Службы приложений.
    Включение автоматического продления Выберите, следует ли автоматически обновлять сертификат до истечения срока его действия. Каждое продление расширяет срок действия сертификата на один год. Плата взимается с вашей подписки.
  3. По завершении развертывания выберите элемент Перейти к ресурсу.

Сохранение сертификата в Azure Key Vault

Key Vault — это служба Azure, которая помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Для сертификатов Служба приложений рекомендуется использовать Key Vault. После завершения процесса приобретения сертификата необходимо выполнить несколько дополнительных действий, прежде чем приступить к использованию сертификата.

  1. На странице Сертификаты службы приложений выберите сертификат. В меню сертификата выберите Конфигурация сертификата>Шаг 1. Сохранение.

    Снимок экрана: панель конфигурации сертификата с выбранным шагом 1. Магазин.

  2. На странице "Состояние Key Vault" выберите "Выбрать из Key Vault".

  3. Если вы создаете новое хранилище, настройте хранилище на основе следующей таблицы и обязательно используйте ту же подписку и группу ресурсов, что и приложение Служба приложений.

    Параметр Description
    Группа ресурсов Рекомендуется выбирать группу ресурсов, идентичную сертификату Службы приложений.
    Имя хранилища ключей Уникальное имя, использующее только буквы, цифры и дефисы.
    Регион В том же расположении, что и ваше приложение Службы приложений.
    Ценовая категория Дополнительные сведения см. в статье Цены на Key Vault .
    Дни хранения удаленных хранилищ Количество дней после удаления, которые объекты остаются восстанавливаемыми. (См. раздел Обзор обратимого удаления Azure Key Vault.) Задайте значение от 7 до 90.
    Защита от очистки Включение этого параметра заставляет все удаленные объекты оставаться в состоянии обратимо удаленных в течение всего периода хранения.
  4. Нажмите кнопку "Далее", а затем выберите "Политика доступа к Хранилищу". В настоящее время Служба приложений сертификаты поддерживают только политики доступа Key Vault, а не модель RBAC.

  5. Выберите Проверить и создать, а затем выберите Создать.

  6. После создания хранилища ключей не нажимайте кнопку "Перейти к ресурсу". Дождитесь перезагрузки хранилища ключей из страницы Azure Key Vault .

  7. Выберите Выбрать.

  8. После выбора хранилища закройте страницу Репозиторий Key Vault. Параметр Шаг 1. Сохранение должен быть отмечен зеленой галочкой, что указывает на успешное выполнение. На протяжении выполнения следующего шага данная страница должна быть открыта.

Подтверждение владения доменом

  1. На той же странице конфигурации сертификата, что и в предыдущем разделе, выберите шаг 2. Проверка.

    Снимок экрана: область конфигурации сертификата с выбранным шагом 2. Проверка.

  2. Выберите Проверка службы приложений. Так как домен сопоставлен с веб-приложением ранее в этом разделе, домен уже проверен. Чтобы завершить этот шаг, просто выберите Проверить, а затем — Обновить, пока не появится сообщение Сертификат домена проверен.

Поддерживаются следующие методы проверки домена:

Метод Description
Проверка службы приложений Наиболее удобный вариант, когда домен уже сопоставлен с приложением Службы приложений в той же подписке, так как приложение Службы приложений уже подтвердило право собственности на домен. Просмотрите последний шаг в разделе Подтверждение владения доменом.
Проверка домена Подтвердите домен Службы приложений, который вы приобрели в Azure. Azure автоматически добавляет проверочную запись типа TXT и завершает процесс.
Проверка почты Подтвердите домен, отправив электронное письмо администратору домена. После выбора данного параметра будут предоставлены инструкции.
Проверка вручную Подтвердите домен с помощью записи DNS TXT или HTML-страницы. (Последнее относится только к стандартным сертификатам. См. следующее примечание.) Действия предоставляются после выбора параметра. Параметр HTML-страницы не работает для веб-приложений с включенным только протоколом HTTPS. Для проверки домена с помощью записи DNS TXT для корневого домена (например, contoso.com) или поддомена (например, www.contoso.com или test.api.contoso.com) и независимо от номера SKU сертификата необходимо добавить запись TXT на корневом уровне домена, используя @ имя и маркер проверки домена для значения в записи DNS.

Внимание

При использовании стандартного сертификата вы получаете сертификат для запрошенного домена верхнего уровня и www поддомена, например.www.contoso.comcontoso.com Однако Служба приложений проверки и ручной проверки используют проверку HTML-страницы, которая не поддерживает www поддомен при проблеме, повторном ключе или продлении сертификата. Для стандартного сертификата используйте проверку домена и проверку почты, чтобы включить www поддомен с запрошенным доменом верхнего уровня в сертификат.

После проверки домена сертификат будет готов импортировать его в приложение Служба приложений.

Продление сертификата Службы приложений

По умолчанию сертификаты Службы приложений имеют срок действия в один год. До истечения срока действия вы можете автоматически или вручную обновить сертификаты Служба приложений в течение одного года. Процесс обновления фактически дает вам новый сертификат Службы приложений с продленным сроком действия до одного года с даты истечения срока действия существующего сертификата.

Примечание.

Начиная с 23 сентября 2021 года, если вы не проверили домен за последние 395 дней, Служба приложений сертификаты требуют проверки домена во время продления, автоматического продления или повторного ключа. Новый заказ сертификата остается в режиме ожидания выдачи во время продления, автоматического продления или повторного использования, пока не завершите проверку домена.

В отличие от бесплатного Служба приложений управляемого сертификата, приобретенные Служба приложений сертификаты не имеют автоматической проверки домена. Сбой проверки владения доменом приводит к сбою возобновления действия. Дополнительные сведения о проверке сертификата Служба приложений см. в разделе Подтверждение владения доменом.

Процесс продления требует, чтобы субъект-служба для Служба приложений имеет необходимые разрешения в хранилище ключей. Эти разрешения настраиваются при импорте сертификата Службы приложений через портал Azure. Убедитесь, что эти разрешения не удаляются из хранилища ключей.

  1. Чтобы изменить параметр автоматического возобновления действия для сертификата Служба приложений в любое время, на странице Сертификаты Службы приложений выберите сертификат.

  2. В меню слева выберите параметры автоматического обновления.

  3. Нажмите кнопку "Включить " или "Выключить", а затем нажмите кнопку "Сохранить".

    Если автоматическое обновление включено, сертификаты начнут автоматически обновляться за 32 дня до истечения их срока действия.

    Снимок экрана: параметры автоматического обновления указанного сертификата.

  4. Чтобы обновить сертификат вручную, щелкните Обновление вручную. Вы можете запросить продление сертификата вручную 60 дней до истечения срока действия, но сертификаты не могут быть выданы дольше 397 дней.

  5. После завершения операции продления нажмите кнопку Синхронизировать.

    Операция синхронизации автоматически обновляет привязки имен узлов для сертификата в Службе приложений, не вызывая простоя в работе ваших приложений.

    Примечание.

    Если вы не выберете Синхронизировать, Служба приложений автоматически синхронизирует ваш сертификат в течение 24 часов.

Переназначение ключа сертификата Службы приложений

Если вы считаете, что закрытый ключ сертификата скомпрометирован, то вы можете переназначить его ключ. Это действие поворачивает сертификат с новым сертификатом, выданным центром сертификации.

  1. На странице Сертификаты службы приложений выберите сертификат. В меню слева выберите Переназначение ключа и синхронизация.

  2. Чтобы запустить процесс, нажмите кнопку Переназначить ключ. Этот процесс может занять от 1 до 10 минут.

    Снимок экрана: переназначение ключа сертификата Службы приложений.

  3. Возможно, вам также потребуется повторно подтвердить владение доменом.

  4. После завершения операции переназначения ключа нажмите кнопку Синхронизировать.

    Операция синхронизации автоматически обновляет привязки имен узлов для сертификата в Службе приложений, не вызывая простоя в работе ваших приложений.

    Примечание.

    Если вы не выберете Синхронизировать, Служба приложений автоматически синхронизирует ваш сертификат в течение 24 часов.

Экспорт сертификата Службы приложений

Поскольку сертификат Службы приложений является секретом Key Vault, вы можете экспортировать копию в виде PFX-файла, который можно использовать для других служб Azure или за пределами Azure.

Внимание

Экспортированный сертификат является неуправляемым артефактом. Служба приложений не синхронизирует такие артефакты при обновлении Сертификатов службы приложений. При необходимости вы должны экспортировать и установить обновленный сертификат.

  1. На странице Сертификаты службы приложений выберите сертификат.

  2. В меню слева выберите пунктЭкспорт сертификата.

  3. Выберите "Открыть секрет Key Vault".

  4. Выберите текущую версию сертификата.

  5. Выберите Скачать как сертификат.

Скачанный PFX-файл — это необработанный файл PKCS12, содержащий как общедоступные, так и частные сертификаты, а пароль импорта — пустая строка. Можно установить файл локально, оставив поле пароля пустым. Невозможно передать файл как есть в Службу приложений, так как файл не защищен паролем.

Использование сертификата azure Advisor для Служба приложений

Служба приложений сертификат интегрирован с Помощник по Azure предоставляет рекомендации по надежности, если сертификат требует проверки домена. Необходимо проверить владение доменом для сертификата во время продления, автоматического продления или повторного ключа, если вы не проверили домен за последние 395 дней. Чтобы не пропустить сертификат, требующий проверки или риска истечения срока действия сертификата, вы можете использовать помощник по Azure для просмотра и настройки оповещений для сертификата Служба приложений.

Рекомендации помощника по просмотру

Чтобы просмотреть рекомендации помощника по сертификату Служба приложений, выполните приведенные ниже действия.

  1. Перейдите на страницу Помощника по Azure.

  2. В меню слева выберите пункт "Надежность рекомендаций">

  3. Выберите тип фильтра равным и выполните поиск Служба приложений сертификатов из раскрывающегося списка. Если значение не существует в раскрывающемся меню, то это означает, что для ресурсов сертификата Служба приложений нет рекомендаций, так как ни одна из них не требует проверки владения доменом.

Создание оповещений Помощника

Вы [создаете оповещения Помощника по Azure по новым рекомендациям] с помощью различных конфигураций. Чтобы настроить оповещения Помощника специально для сертификата Serivice для приложений, чтобы получать уведомления, когда сертификат требует проверки владения доменом:

  1. Перейдите на страницу Помощника по Azure.

  2. В меню слева выберите "Мониторинг>оповещений" (предварительная версия)

  3. Щелкните +Создать оповещение помощника в верхней части панели действий. Откроется новая колонка "Создание оповещений помощника".

  4. В разделе "Условие" выберите следующее:

    Настроено Тип рекомендации
    Тип рекомендации Проверка домена для выпуска сертификата службы приложений
  5. Заполните остальные обязательные поля, а затем нажмите кнопку "Создать оповещение " внизу.

Удаление сертификата Службы приложений

При удалении сертификата Служба приложений операция удаления является необратимой и окончательной. Результатом является отозванный сертификат, а любая привязка в Служба приложений, использующая сертификат, становится недопустимой.

  1. На странице Сертификаты службы приложений выберите сертификат.

  2. В меню слева выберите Обзор>Удалить.

  3. Когда откроется поле подтверждения, введите имя сертификата и нажмите кнопку "ОК".

Часто задаваемые вопросы

У моего сертификата Служба приложений нет никакого значения в Key Vault

Сертификат Служба приложений, вероятно, еще не проверен доменом. Пока не будет подтверждено владение доменом, ваш сертификат Служба приложений не готов к использованию. В качестве секрета Key Vault он сохраняет Initialize тег, а его значение и тип контента остаются пустыми. При подтверждении владения доменом секрет хранилища ключей показывает значение и тип контента, а тег изменяется Ready.

Не удается экспортировать сертификат Служба приложений с помощью PowerShell

Сертификат Служба приложений, вероятно, еще не проверен доменом. Пока не будет подтверждено владение доменом, ваш сертификат Служба приложений не готов к использованию.

Какие изменения вносят процесс создания сертификата Служба приложений в существующее хранилище ключей?

Процесс создания вносит следующие изменения:

  • Добавляет две политики доступа в хранилище:
    • Microsoft.Azure.WebSites (или Microsoft Azure App Service)
    • Поставщик ресурсов CSM для торгового посредника сертификатов Майкрософт (или Microsoft.Azure.CertificateRegistration)
  • Создает блокировку удаления, вызываемую AppServiceCertificateLock в хранилище, чтобы предотвратить случайное удаление хранилища ключей.