Приобретение сертификатов Служба приложений и управление ими

В этой статье показано, как создать сертификат Службы приложений Azure и выполнять такие задачи управления, как продление, синхронизация и удаление сертификатов. После того как у вас есть сертификат службы приложений, его можно импортировать в приложение службы приложений. Сертификат службы приложений — это частный сертификат, управляемый Azure. Он сочетает простоту автоматического управления сертификатами и гибкость возможностей продления и экспорта.

Если вы приобрели сертификат службы приложений из Azure, Azure управляет следующими задачами:

• Обрабатывает процесс покупки в GoDaddy.
• выполняет проверку домена сертификата;
• Сохраняет сертификат в Azure Key Vault.
• Управляет продлением сертификата.
• Синхронизирует сертификат автоматически с импортированными копиями в приложениях службы приложений.

После отправки сертификата в приложение сертификат хранится в модуле развертывания, привязанном к группе ресурсов, региону и операционной системе плана службы приложений. Внутренне это называется веб-пространством. Таким образом, сертификат доступен другим приложениям в той же группе ресурсов и сочетании регионов. Сертификаты, отправленные или импортированные в службу приложений, совместно используются службами приложений в одном модуле развертывания.

Предпосылки

• Создайте приложение службы приложений. План службы приложений должен находиться на уровне "Базовый", "Стандартный", "Премиум" или "Изолированный". Чтобы обновить уровень, см. статью "Масштабирование приложения".

В настоящее время сертификаты службы приложений не поддерживаются в национальных облаках Azure.

Приобретение и настройка сертификата службы приложений

Приобретение сертификата

1. Перейдите на страницу "Создание сертификата службы приложений ", чтобы начать покупку.

   Замечание

   GoDaddy выдает сертификаты службы приложений, приобретенные из Azure. Для некоторых доменов необходимо явно разрешить GoDaddy в качестве издателя сертификатов, создав запись домена авторизации центра сертификации со значением 0 issue godaddy.com.

   

2. Чтобы настроить сертификат, используйте следующую таблицу. По завершении нажмите кнопку "Проверить и создать", а затем нажмите кнопку "Создать".

   Настройки	Описание
   Подписка	Подписка Azure, связанная с сертификатом.
   Группа ресурсов	Группа ресурсов, содержащая сертификат. Вы можете создать новую группу ресурсов или выбрать ту же группу ресурсов, что и приложение службы приложений.
   Номер SKU	Определяет тип создаваемого сертификата, стандартного сертификата или подстановочного сертификата.
   Имя узла голого домена	Укажите корневой домен. Выданный сертификат обеспечивает безопасность как корневого домена, так и www поддомена. В выданном сертификате поле "Общее имя" указывает корневой домен. Поле "Альтернативное имя субъекта " указывает www домен. Чтобы обеспечить безопасность только поддомена, укажите полное доменное имя для поддомена, например mysubdomain.contoso.com.
   Имя сертификата	Дружественное имя сертификата службы приложений.
   Включение автоматического продления	Выберите, следует ли автоматически обновлять сертификат до истечения срока действия. Каждое продление расширяет срок действия сертификата на один год. Плата взимается с вашей подписки.

3. Когда развертывание будет завершено, выберите Перейти ресурсу.

Хранение сертификата в Azure Key Vault

Key Vault — это служба Azure, которая помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Для сертификатов службы приложений рекомендуется использовать Key Vault. После завершения процесса приобретения сертификата необходимо выполнить несколько дополнительных действий, прежде чем приступить к использованию сертификата.

1. На странице сертификатов службы приложений выберите сертификат. На панели сертификатов выберите Настройка сертификата>Шаг 1: Хранить.

   

2. На странице Key Vault Status выберите Select from Key Vault.

3. При создании нового хранилища настройте хранилище на основе следующей таблицы. Обязательно используйте ту же подписку и группу ресурсов, что и приложение службы приложений.

   Настройки	Описание
   Группа ресурсов	Рекомендуется: та же группа ресурсов, что и сертификат службы приложений.
   Имя хранилища ключей	Уникальное имя, которое использует только буквенно-цифровые символы и дефисы.
   Регион	То же расположение, что и ваше приложение App Service.
   Ценовая категория	Дополнительные сведения см. в разделе о ценах Azure Key Vault.
   Срок хранения удаленных хранилищ	Количество дней, в течение которых после удаления объекты остаются восстанавливаемыми. (См. Обзор функции обратимого удаления в Azure Key Vault.) Установите значение от 7 до 90.
   Защита от очистки	Включение этого параметра заставляет все удаленные объекты оставаться в состоянии мягкого удаления в течение всего периода удержания.

4. Нажмите кнопку "Далее", а затем выберите "Политика доступа к Хранилищу". В настоящее время сертификаты службы приложений поддерживают только политики доступа Key Vault, а не модель управления доступом на основе ролей.

5. Выберите Проверить и создать, а затем выберите Создать.

6. После создания хранилища ключей не нажимайте кнопку "Перейти к ресурсу". Дождитесь перезагрузки страницы Выберите хранилище ключей из Azure Key Vault.

7. Нажмите кнопку "Выбрать".

8. После выбора хранилища закройте страницу Key Vault Repository. Шаг 1. Параметр Магазина должен отображать зеленый флажок, чтобы указать успешность. Откройте страницу для следующего шага.

Подтверждение владения доменом

1. На той же странице конфигурации сертификата , что и в предыдущем разделе, выберите шаг 2. Проверка.

   

2. Выберите проверку службы приложений. Поскольку ранее в этом разделе вы сопоставили домен с вашим веб-приложением, домен уже проверен. Чтобы завершить этот шаг, выберите Проверить, а затем выберите Обновить до появления сообщения сертификат подтвержден для домена.

Поддерживаются следующие методы проверки домена:

После проверки домена сертификат можно импортировать в приложение службы приложений.

Продление сертификата службы приложений

По умолчанию сертификаты службы приложений имеют срок действия один год. До истечения срока действия вы можете автоматически или вручную обновить сертификаты службы приложений в течение одного года. Процесс продления фактически предоставляет новый сертификат службы приложений с датой окончания срока действия до одного года с даты окончания срока действия существующего сертификата.

По состоянию на 23 сентября 2021 года, если вы не проверили домен за последние 395 дней, сертификаты службы приложений требуют проверки домена во время продления, автоматического восстановления или повторного доступа. Новый порядок сертификатов остается в режиме ожидания выдачи во время продления, автоматического восстановления или повторного ключа, пока не завершите проверку домена.

В отличие от управляемого сертификата бесплатной службы приложений, приобретенные сертификаты службы приложений не имеют автоматического восстановления домена. Сбой проверки владения доменом приводит к неудачным возобновлениям. Дополнительные сведения о проверке сертификата службы приложений см. в статье "Подтверждение владения доменом".

Процесс продления требует, чтобы представитель службы для службы приложений получил необходимые разрешения в хранилище ключей. Эти разрешения настраиваются для вас при импорте сертификата службы приложений на портале Azure. Убедитесь, что эти разрешения не удаляются из хранилища ключей.

1. Чтобы изменить параметр автоматического продления сертификата службы приложений в любое время, на странице сертификатов службы приложений выберите сертификат.

2. На левой панели выберите параметры автоматического продления.

3. Нажмите кнопку "Включить " или "Выключить", а затем нажмите кнопку "Сохранить".

   Если включить автоматическое продление, сертификаты могут автоматически обновляться через 32 дня до истечения срока действия.

   

4. Чтобы обновить сертификат вручную, выберите "Продлить вручную". Вы можете запросить продление сертификата вручную 60 дней до истечения срока действия, но сертификаты не могут быть выданы дольше 397 дней.

5. После завершения операции продления нажмите кнопку "Синхронизация".

   Операция синхронизации автоматически обновляет привязки имени узла для сертификата в Службе приложений, не вызывая простоя приложений.

   Если вы не выбрали синхронизацию, служба приложений автоматически синхронизирует сертификат в течение 24 часов.

Повторное создание сертификата службы приложений

Если вы считаете, что закрытый ключ сертификата скомпрометирован, вы можете повторно использовать сертификат. Это действие заменяет сертификат на новый сертификат, выданный удостоверяющим центром.

По состоянию на 23 сентября 2021 года, если вы не проверили домен за последние 395 дней, сертификаты службы приложений требуют проверки домена во время продления, автоматического восстановления или повторного доступа. Новый порядок сертификатов остается в режиме ожидания выдачи во время продления, автоматического восстановления или повторного ключа, пока не завершите проверку домена.

В отличие от управляемого сертификата бесплатной службы приложений, приобретенные сертификаты службы приложений не имеют автоматического восстановления домена. Сбой проверки владения доменом приводит к неудачным возобновлениям. Дополнительные сведения о проверке сертификата службы приложений см. в статье "Подтверждение владения доменом".

Процесс смены ключа требует, чтобы служебный принципал для службы приложений имел необходимые разрешения на хранилище ключей. Эти разрешения настраиваются для вас при импорте сертификата службы приложений на портале Azure. Убедитесь, что эти разрешения не удаляются из хранилища ключей.

1. На странице сертификатов службы приложений выберите сертификат. На левой панели выберите Перегенерация ключа и Синхронизация.

2. Чтобы запустить процесс, нажмите кнопку "Повторно". Этот процесс может занять от 1 до 10 минут.

   

3. Возможно, вам также потребуется подтвердить владение доменом.

4. После завершения операции повторного ключа нажмите кнопку "Синхронизация".

   Операция синхронизации автоматически обновляет привязки имени узла для сертификата в Службе приложений, не вызывая простоя приложений.

   Если вы не выбрали синхронизацию, служба приложений автоматически синхронизирует сертификат в течение 24 часов.

Экспорт сертификата службы приложений

Так как сертификат службы приложений является секретом Key Vault, вы можете экспортировать копию в виде PFX-файла, который можно использовать для других служб Azure или за пределами Azure.

Экспортированный сертификат является неуправляемым артефактом. Служба приложений не синхронизирует такие артефакты при продлении сертификата службы приложений. При необходимости необходимо экспортировать и установить обновленный сертификат.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

Скачанный PFX-файл — это необработанный PKCS12-файл, содержащий как общедоступные, так и частные сертификаты, и имеет пароль импорта, который является пустой строкой. Вы можете локально установить файл, оставив поле пароля пустым. Невозможно загрузить файл в службу приложений в его текущем виде, потому что файл не защищен паролем.

Использование сертификатов Azure Advisor для службы приложений

Сертификат службы приложений интегрирован с Помощником по Azure , чтобы предоставить рекомендации по надежности, если сертификат требует проверки домена. Если вы не проверили домен за последние 395 дней, необходимо проверить владение доменом для сертификата во время продления, автоматического восстановления или повторного ключа. Чтобы не пропустить сертификат, требующий проверки или риска истечения срока действия сертификата, используйте Помощник для просмотра и настройки оповещений для сертификата службы приложений.

Просмотр рекомендаций помощника

Чтобы просмотреть рекомендации помощника по сертификату службы приложений, выполните следующие действия.

1. Перейдите на страницу Помощника по Azure.

2. На левой панели выберите "Надежность рекомендаций>".

3. Выберите параметр фильтра Тип равен и найдите Сертификаты службы приложений в раскрывающемся списке. Если значение не существует в раскрывающемся списке, это означает, что для ресурсов сертификатов службы приложений не была создана рекомендация, так как ни одна из них не требует проверки владения доменом.

Создание оповещений помощника

Вы создаете оповещения Помощника по новым рекомендациям с помощью различных конфигураций. Чтобы настроить оповещения Помощника специально для сертификата службы приложений, чтобы получать уведомления, когда сертификат требует проверки владения доменом:

1. Перейдите на страницу Помощника по Azure.

2. На левой панели выберите "Мониторинг оповещений>(предварительная версия)".

3. Нажмите кнопку +Создать оповещение помощника на панели в верхней части, чтобы открыть панель "Создать оповещения помощника ".

4. В разделе "Условие" выберите следующий параметр:

   Настроено по	Тип рекомендации
   Тип рекомендации	Проверка домена, необходимая для выдачи сертификата службы приложений.

5. Заполните остальные обязательные поля и нажмите кнопку "Создать оповещение".

Удаление сертификата службы приложений

При удалении сертификата службы приложений операция удаления является необратимой и окончательной. Результатом является отозванный сертификат. Любая привязка в службе приложений, использующая сертификат, становится недопустимой.

1. На странице сертификатов службы приложений выберите сертификат.

2. На левой панели выберите " Обзор>удаления".

3. Когда откроется поле подтверждения, введите имя сертификата и нажмите кнопку "ОК".

Часто задаваемые вопросы

Почему сертификат службы приложений не имеет значения в Key Vault?

Ваш сертификат службы приложений, вероятно, еще не проверен для домена. Пока не будет подтверждено владение доменом, сертификат службы приложений не готов к использованию. В качестве секрета хранилища ключей он содержит тег Initialize, а его значение и тип содержимого остаются пустыми. При подтверждении владения доменом секретный ключ хранилища показывает значение и тип содержимого, а тег изменяется на Ready.

Почему не удается экспортировать сертификат службы приложений с помощью PowerShell?

Ваш сертификат службы приложений, вероятно, еще не проверен для домена. Пока не будет подтверждено владение доменом, сертификат службы приложений не готов к использованию.

Какие изменения в процессе создания сертификата службы приложений вносятся в существующее хранилище ключей?

Процесс создания вносит следующие изменения:

• Добавляет две политики доступа в хранилище:
  • Служба приложений Microsoft Azure (или Microsoft.Azure.WebSites)
  • Ресурсный провайдер сертификатов Microsoft для CSM (или Microsoft.Azure.CertificateRegistration)
• Создает блокировку удаления с именем AppServiceCertificateLock в хранилище, чтобы предотвратить случайное удаление хранилища ключей.

Связанный контент

• Защита пользовательского доменного имени с помощью привязки TLS/SSL в Службе приложений Azure
• Принудительное использование HTTPS
• Принудительное применение TLS 1.1/1.2
• Использование TLS/SSL-сертификата в коде в Службе приложений Azure
• Часто задаваемые вопросы о создании или удалении ресурсов в службе приложение Azure