Megosztás a következőn keresztül:

TLS/SSL-tanúsítványok hozzáadása és kezelése Azure-alkalmazás szolgáltatásban

  • Cikk

Feljegyzés

2024. június 1-től az újonnan létrehozott App Service-alkalmazások létrehozhatnak egy egyedi alapértelmezett gazdagépnevet, amely az elnevezési konvenciót <app-name>-<random-hash>.<region>.azurewebsites.nethasználja. A meglévő alkalmazásnevek változatlanok maradnak. Példa:

myapp-ds27dh7271aah175.westus-01.azurewebsites.net

További információ: Az App Service-erőforrás egyedi alapértelmezett gazdagépneve.

Hozzáadhat digitális biztonsági tanúsítványokat az alkalmazáskódban való használatra, vagy az egyéni DNS-nevek biztonságossá tételéhez a Azure-alkalmazás Szolgáltatásban, amely nagymértékben méretezhető, önjavító web hosting szolgáltatást biztosít. A jelenleg Transport Layer Security (TLS) tanúsítványok, más néven a Secure Socket Layer (SSL) tanúsítványok, ezek a privát vagy nyilvános tanúsítványok segítenek az internetkapcsolatok védelmében a böngésző, a meglátogatott webhelyek és a webhelykiszolgáló között küldött adatok titkosításával.

Az alábbi táblázat felsorolja a tanúsítványok App Service-ben való hozzáadásának lehetőségeit:

Lehetőség Leírás
Ingyenes, felügyelt App Service-tanúsítvány létrehozása Ingyenes és könnyen használható magántanúsítvány, ha csak javítania kell az egyéni tartomány biztonságát az App Service-ben.
App Service-tanúsítvány importálása Az Azure által felügyelt magántanúsítvány. Egyesíti az automatizált tanúsítványkezelés egyszerűségét, valamint a megújítási és exportálási lehetőségek rugalmasságát.
Tanúsítvány importálása a Key Vaultból Hasznos, ha az Azure Key Vault használatával kezeli a PKCS12-tanúsítványokat. Lásd a magántanúsítvány követelményeit.
Magántanúsítvány feltöltése Ha már rendelkezik egy külső szolgáltatótól származó magántanúsítvánnyal, feltöltheti azt. Lásd a magántanúsítvány követelményeit.
Nyilvános tanúsítvány feltöltése A nyilvános tanúsítványok nem az egyéni tartományok védelmére szolgálnak, de betöltheti őket a kódba, ha szüksége van rájuk a távoli erőforrások eléréséhez.

Előfeltételek

Magántanúsítvány-követelmények

Az ingyenes App Service által felügyelt tanúsítvány és az App Service-tanúsítvány már megfelel az App Service követelményeinek. Ha magántanúsítványt szeretne feltölteni vagy importálni az App Service-be, a tanúsítványnak meg kell felelnie az alábbi követelményeknek:

  • Jelszóval védett PFX-fájlként exportálva, tripla DES használatával titkosítva
  • Legalább 2048 bit hosszúságú titkos kulcsot kell tartalmaznia.
  • Tartalmazza az összes köztes tanúsítványt és a főtanúsítványt a tanúsítványláncban

Ha szeretne segíteni egy egyéni tartomány biztonságossá tételében egy TLS-kötésben, a tanúsítványnak meg kell felelnie az alábbi további követelményeknek:

  • Bővített kulcshasználatot tartalmaz a kiszolgálóhitelesítéshez (OID = 1.3.6.1.5.5.7.3.1)
  • A tanúsítványt megbízható hitelesítésszolgáltatónak kell aláírnia.

Feljegyzés

Az elliptikus görbe titkosítási (ECC) tanúsítványai az App Service-vel működnek, de ez a cikk nem foglalkozik velük. Az ECC-tanúsítványok létrehozásának pontos lépéseit a hitelesítésszolgáltatóval együttműködve végezheti el.

Feljegyzés

Miután hozzáadott egy magántanúsítványt egy alkalmazáshoz, a tanúsítvány egy üzembe helyezési egységben lesz tárolva, amely az App Service-csomag erőforráscsoportjának, régiójának és operációs rendszerének kombinációjához van kötve, amelyet belsőleg webtérnek neveznek. Így a tanúsítvány elérhető az ugyanazon erőforráscsoportban, régióban és operációsrendszer-kombinációban lévő többi alkalmazás számára. Az App Service-be feltöltött vagy importált magántanúsítványok ugyanabban az üzembehelyezési egységben vannak megosztva az App Services szolgáltatással.

Webtérenként legfeljebb 1000 privát tanúsítványt adhat hozzá.

Ingyenes felügyelt tanúsítvány létrehozása

Az ingyenes App Service által felügyelt tanúsítvány kulcsrakész megoldás az egyéni DNS-név védelmének biztosításához az App Service-ben. A TLS/SSL-kiszolgáló tanúsítványát az App Service teljes körűen felügyeli, és hat hónapos lépésekben, 45 nappal a lejárat előtt automatikusan megújítja, feltéve, hogy a beállított előfeltételek változatlanok maradnak. Az összes társított kötés frissül a megújított tanúsítvánnyal. Létrehozhatja és egy egyéni tartományhoz kötheti a tanúsítványt, és hagyja, hogy az App Service végezze el a többit.

Fontos

Mielőtt ingyenes felügyelt tanúsítványt hoz létre, győződjön meg arról, hogy megfelelt az alkalmazás előfeltételeinek .

Az ingyenes tanúsítványokat a DigiCert állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a DigiCert tanúsítványkibocsátóként egy CAA-tartományrekord létrehozását a következő értékkel: 0 issue digicert.com.

Az Azure teljes mértékben kezeli a tanúsítványokat az Ön nevében, így a felügyelt tanúsítvány bármely aspektusa, beleértve a fő kiállítót is, bármikor változhat. Ezek a módosítások nem önre vannak irányítva. Ügyeljen arra, hogy elkerülje a szigorú függőségeket és a "rögzítést" gyakorló tanúsítványokat a felügyelt tanúsítványra vagy a tanúsítványhierarchia bármely részére. Ha a tanúsítvány rögzítési viselkedésére van szüksége, adjon hozzá egy tanúsítványt az egyéni tartományhoz a jelen cikkben szereplő bármely más elérhető módszer használatával.

Az ingyenes tanúsítványra a következő korlátozások vonatkoznak:

  • Nem támogatja a helyettesítő tanúsítványokat.
  • Nem támogatja az ügyféltanúsítványként való használatot a tanúsítvány ujjlenyomatával, amelyet elavuláshoz és eltávolításhoz terveznek.
  • Nem támogatja a privát DNS-t.
  • Nem exportálható.
  • App Service-környezetben nem támogatott.
  • Csak alfanumerikus karaktereket, kötőjeleket (-) és pontokat (.) támogat.
  • Csak a legfeljebb 64 karakter hosszúságú egyéni tartományok támogatottak.
  • A webalkalmazás IP-címére mutató A rekordnak kell lennie.
  • Nyilvánosan elérhető alkalmazásokon kell lennie.
  • A Traffic Managerrel integrált gyökértartományok nem támogatottak.
  • A tanúsítványok sikeres kiállításához és megújításához meg kell felelnie a fentieknek.

  1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

  2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok lehetőséget. A Felügyelt tanúsítványok panelen válassza a Tanúsítvány hozzáadása lehetőséget.

    Képernyőkép az alkalmazás menüjéről, amelyen a

  3. Válassza ki az ingyenes tanúsítványhoz tartozó egyéni tartományt, majd válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés befejeződött, válassza a Hozzáadás lehetőséget. Minden támogatott egyéni tartományhoz csak egy felügyelt tanúsítvány hozható létre.

    Amikor a művelet befejeződött, a tanúsítvány megjelenik a felügyelt tanúsítványok listájában.

    Képernyőkép a Felügyelt tanúsítványok panelről, amelyen az új tanúsítvány szerepel.

  4. Ha ezzel a tanúsítvánnyal szeretne biztonságot nyújtani egy egyéni tartomány számára, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

App Service-tanúsítvány importálása

App Service-tanúsítvány importálásához először vásároljon és konfiguráljon egy App Service-tanúsítványt, majd kövesse az alábbi lépéseket.

  1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

  2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítványokat (.pfx)>Tanúsítvány hozzáadása lehetőséget.

  3. A Forrás területen válassza az App Service-tanúsítvány importálása lehetőséget.

  4. Az App Service-tanúsítványban válassza ki az imént létrehozott tanúsítványt.

  5. A Tanúsítványbarát névben adjon nevet a tanúsítványnak az alkalmazásban.

  6. Válassza az Ellenőrzés lehetőséget. Ha az ellenőrzés sikeres, válassza a Hozzáadás lehetőséget.

    Képernyőkép az alkalmazásfelügyeleti lapról, amelyen a

    Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

    Képernyőkép a

  7. Ahhoz, hogy ezzel a tanúsítvánnyal biztonságossá tegye az egyéni tartományt, még létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Tanúsítvány importálása a Key Vaultból

Ha az Azure Key Vault használatával kezeli a tanúsítványokat, importálhat egy PKCS12-tanúsítványt az App Service-be a Key Vaultból, ha megfelel a követelményeknek.

Az App Service olvasásának engedélyezése a tárolóból

Alapértelmezés szerint az App Service-erőforrás-szolgáltató nem rendelkezik hozzáféréssel a kulcstartóhoz. A kulcstartó tanúsítványtelepítéshez való használatához engedélyeznie kell az erőforrás-szolgáltató (App Service) olvasási hozzáférését a kulcstartóhoz. Hozzáférési szabályzattal vagy RBAC-vel is megadhat hozzáférést.

Erőforrás-szolgáltató Szolgáltatásnév alkalmazásazonosítója /hozzárendelt azonosítója Key Vault RBAC-szerepkör
Microsoft Azure-alkalmazás Service vagy Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd nyilvános Azure-felhőkörnyezethez

- 6a02c803-dafd-4136-b4c3-5a6f318b4714 Azure Government felhőkörnyezethez		 Tanúsítványfelhasználó

A szolgáltatásnév alkalmazásazonosítója vagy hozzárendelt értéke az App Service-erőforrás-szolgáltató azonosítója. Ha tudni szeretné, hogyan engedélyezheti a Key Vault-engedélyeket az App Service-erőforrás-szolgáltató számára egy hozzáférési szabályzat használatával, tekintse meg a Key Vault-kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférést az Azure szerepköralapú hozzáférés-vezérlési dokumentációjában.

Tanúsítvány importálása a tárolóból az alkalmazásba

  1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

  2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítványokat (.pfx)>Tanúsítvány hozzáadása lehetőséget.

  3. A Forrás területen válassza az Importálás a Key Vaultból lehetőséget.

  4. Válassza a Key Vault-tanúsítvány kiválasztása lehetőséget.

    Képernyőkép az alkalmazásfelügyeleti oldalról, amelyen a

  5. A tanúsítvány kiválasztásához használja az alábbi táblázatot:

    Beállítás Leírás
    Előfizetés A kulcstartóhoz társított előfizetés.
    Key Vault Az importálni kívánt tanúsítványt tartalmazó kulcstartó.
    Tanúsítvány Ebben a listában válasszon ki egy, a tárolóban található PKCS12-tanúsítványt. A tárolóban található összes PKCS12-tanúsítvány az ujjlenyomatokkal együtt szerepel a listán, de az App Service nem támogatja őket.

  6. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

    Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában. Ha az importálás hiba miatt meghiúsul, a tanúsítvány nem felel meg az App Service követelményeinek.

    Képernyőkép a

    Feljegyzés

    Ha új tanúsítvánnyal frissíti a tanúsítványt a Key Vaultban, az App Service 24 órán belül automatikusan szinkronizálja a tanúsítványt.

  7. Ahhoz, hogy ezzel a tanúsítvánnyal biztonságossá tegye az egyéni tartományt, még létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Magántanúsítvány feltöltése

Miután tanúsítványt kapott a tanúsítványszolgáltatótól, készítse elő a tanúsítványt az App Service-hez az ebben a szakaszban ismertetett lépések végrehajtásával.

Köztes tanúsítványok egyesítése

Ha a hitelesítésszolgáltató több tanúsítványt is biztosít a tanúsítványláncban, a tanúsítványokat azonos sorrendben kell egyesítenie.

  1. Egy szövegszerkesztőben nyissa meg az egyes fogadott tanúsítványokat.

  2. Az egyesített tanúsítvány tárolásához hozzon létre egy mergedcertificate.crt nevű fájlt.

  3. Másolja az egyes tanúsítványok tartalmát ebbe a fájlba. Ügyeljen arra, hogy kövesse a tanúsítványlánc által megadott tanúsítványütemezést, kezdve a tanúsítványával és a főtanúsítvánnyal, például:

    -----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Az egyesített magántanúsítvány exportálása a PFX-be

Most exportálja az egyesített TLS/SSL-tanúsítványt a tanúsítványkérelem létrehozásához használt titkos kulccsal. Ha az OpenSSL használatával hozta létre a tanúsítványkérelemet, létrehozott egy titkos kulcsfájlt.

Feljegyzés

Az OpenSSL v3 módosította az alapértelmezett titkosítást 3DES-ről AES256-ra, de ez felülbírálható a következő parancssorban: -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. Az OpenSSL v1 alapértelmezés szerint a 3DES-t használja, így a létrehozott PFX-fájlok speciális módosítások nélkül támogatottak.

  1. A tanúsítvány PFX-fájlba való exportálásához futtassa a következő parancsot, de cserélje le a helyőrzőket <a titkos kulcs> és <az egyesített tanúsítványfájl> elérési útjára.

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

  2. Amikor a rendszer kéri, adjon meg egy jelszót az exportálási művelethez. Amikor később feltölti a TLS/SSL-tanúsítványt az App Service-be, meg kell adnia ezt a jelszót.

  3. Ha IIS-t vagy Certreq.exe használt a tanúsítványkérelem létrehozásához, telepítse a tanúsítványt a helyi számítógépre, majd exportálja a tanúsítványt egy PFX-fájlba.

A tanúsítvány feltöltése az App Service-be

Most már feltöltheti a tanúsítványt az App Service-be.

  1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

  2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>saját tanúsítvány (.pfx)>Tanúsítvány feltöltése lehetőséget.

    Képernyőkép az alkalmazásfelügyeleti oldalról, amelyen a

  3. A .pfx tanúsítvány feltöltéséhez használja az alábbi táblázatot:

    Beállítás Leírás
    PFX-tanúsítványfájl Válassza ki a .pfx fájlt.
    Tanúsítvány jelszava Adja meg a PFX-fájl exportálásakor létrehozott jelszót.
    Tanúsítványbarát név A webalkalmazásban megjelenő tanúsítványnév.

  4. Ha végzett a kijelöléssel, válassza a Kiválasztás, az Ellenőrzés, majd a Hozzáadás lehetőséget.

    Amikor a művelet befejeződött, a tanúsítvány megjelenik a Saját tanúsítványok listájában.

    Képernyőkép a

  5. Ha ezzel a tanúsítvánnyal szeretne biztonságot nyújtani egy egyéni tartomány számára, akkor is létre kell hoznia egy tanúsítványkötést. Kövesse az egyéni DNS-név biztonságossá tételét TLS-/SSL-kötéssel a Azure-alkalmazás Szolgáltatásban.

Nyilvános tanúsítvány feltöltése

A nyilvános tanúsítványok .cer formátumban támogatottak.

Feljegyzés

Miután feltöltött egy nyilvános tanúsítványt egy alkalmazásba, az csak a feltöltött alkalmazás számára érhető el. A nyilvános tanúsítványokat minden olyan webalkalmazásba fel kell tölteni, amelyhez hozzáférés szükséges. Az App Service Environment-specifikus forgatókönyvek esetében tekintse meg a tanúsítványok dokumentációját és az App Service-környezetet.

App Service-csomagonként legfeljebb 1000 nyilvános tanúsítványt tölthet fel.

  1. Az Azure Portal bal oldali menüjében válassza az App Services><alkalmazásnevét.>

  2. Az alkalmazás navigációs menüjében válassza a Tanúsítványok>nyilvános kulcsú tanúsítványok (.cer)>Tanúsítvány hozzáadása lehetőséget.

  3. A .cer tanúsítvány feltöltéséhez használja az alábbi táblázatot:

    Beállítás Leírás
    CER-tanúsítványfájl Válassza ki a .cer fájlt.
    Tanúsítványbarát név A webalkalmazásban megjelenő tanúsítványnév.

  4. Ha elkészült, válassza a Hozzáadás lehetőséget.

    Képernyőkép az alkalmazásfelügyeleti oldalról. Megjeleníti a feltöltendő nyilvános kulcsú tanúsítványt és annak nevét.

  5. A tanúsítvány feltöltése után másolja ki a tanúsítvány ujjlenyomatát, majd tekintse át a Tanúsítvány akadálymentessé tétele című cikket.

Lejáró tanúsítvány megújítása

Mielőtt egy tanúsítvány lejár, adja hozzá a megújított tanúsítványt az App Service-hez, és frissítse azokat a tanúsítványkötéseket, amelyeknél a folyamat a tanúsítvány típusától függ. Például a Key Vaultból importált tanúsítvány, beleértve egy App Service-tanúsítványt is, 24 óránként automatikusan szinkronizálódik az App Service-hez, és frissíti a TLS/SSL kötést a tanúsítvány megújításakor. Feltöltött tanúsítvány esetén nincs automatikus kötésfrissítés. A forgatókönyv alapján tekintse át a megfelelő szakaszt:

Feltöltött tanúsítvány megújítása

Ha lecserél egy lejáró tanúsítványt, a tanúsítványkötés új tanúsítványra való frissítésének módja hátrányosan befolyásolhatja a felhasználói élményt. Előfordulhat például, hogy a bejövő IP-cím megváltozik egy kötés törlésekor, még akkor is, ha a kötés IP-alapú. Ez az eredmény különösen akkor hat, ha egy már IP-alapú kötésben lévő tanúsítványt újít meg. Az alkalmazás IP-címének módosításának elkerülése és az alkalmazás HTTPS-hibák miatti állásidejének elkerülése érdekében kövesse az alábbi lépéseket a megadott sorrendben:

  1. Töltse fel az új tanúsítványt.

  2. Lépjen az alkalmazás Egyéni tartományok lapjára, válassza a ... gombot, majd a Kötés frissítése lehetőséget.

  3. Válassza ki az új tanúsítványt, majd válassza a Frissítés lehetőséget.

  4. Törölje a meglévő tanúsítványt.

A Key Vaultból importált tanúsítvány megújítása

Feljegyzés

Az App Service-tanúsítvány megújításáról az App Service-tanúsítvány megújítása című témakörben olvashat.

Az App Service-be a Key Vaultból importált tanúsítvány megújításához tekintse át az Azure Key Vault-tanúsítvány megújítását.

Miután a tanúsítvány megújul a kulcstartóban, az App Service automatikusan szinkronizálja az új tanúsítványt, és 24 órán belül frissíti a vonatkozó tanúsítványkötéseket. A manuális szinkronizáláshoz kövesse az alábbi lépéseket:

  1. Nyissa meg az alkalmazás Tanúsítvány lapját.

  2. A Saját tanúsítványok (.pfx) területen válassza az importált kulcstartó tanúsítványának ... gombját, majd válassza a Szinkronizálás lehetőséget.

Gyakori kérdések

Hogyan automatizálhatom saját tanúsítvány hozzáadását egy alkalmazáshoz?

Használhatok privát hitelesítésszolgáltatói (hitelesítésszolgáltatói) tanúsítványt a bejövő TLS-ekhez az alkalmazásomon?

Az App Service Environment 3-es verziójában a bejövő TLS-hez használhat privát hitelesítésszolgáltatói tanúsítványt. Ez az App Service-ben (több-bérlős) nem lehetséges. Az App Service több-bérlős és az egybérlős app service-ről további információt az App Service Environment v3 és az App Service nyilvános több-bérlős összehasonlításában talál.

Kezdeményezhetek kimenő hívásokat privát hitelesítésszolgáltatói ügyféltanúsítvány használatával az alkalmazásomból?

Ez csak a windowsos tárolóalkalmazások esetében támogatott a több-bérlős App Service-ben. Emellett kimenő hívásokat is kezdeményezhet egy privát hitelesítésszolgáltatói ügyféltanúsítvány használatával, amely kódalapú és tárolóalapú alkalmazásokat is használ az App Service Environment 3-es verziójában. Az App Service több-bérlős és az egybérlős app service-ről további információt az App Service Environment v3 és az App Service nyilvános több-bérlős összehasonlításában talál.

Betölthetek egy privát hitelesítésszolgáltatói tanúsítványt az App Service megbízható legfelső szintű áruházában?

Az App Service Environment 3-ás verziójában betöltheti saját hitelesítésszolgáltatói tanúsítványát a Megbízható legfelső szintű áruházba. Nem módosíthatja a megbízható főtanúsítványok listáját az App Service-ben (több-bérlős). Az App Service több-bérlős és az egybérlős app service-ről további információt az App Service Environment v3 és az App Service nyilvános több-bérlős összehasonlításában talál.

Használható az App Service-tanúsítvány más szolgáltatásokhoz?

Igen, az App Service-tanúsítványon keresztül vásárolt tanúsítványok exportálhatók és használhatók az Application Gateway vagy más szolgáltatások használatával. További információkért tekintse meg a következő blogbejegyzést: Az App Service-tanúsítvány helyi PFX-példányának létrehozása.

További erőforrások