Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 28 июля 2025 г. изменения в управляемых сертификатах службы приложений (ASMC) повлияют на выдачу и продление сертификатов в определенных сценариях. Хотя большинству клиентов не нужно принимать меры, рекомендуется ознакомиться с подробным блогом ASMC для получения дополнительных сведений.
Вы можете добавить цифровые сертификаты безопасности для использования в коде приложения или чтобы помочь защитить пользовательские имена в системе доменных имен (DNS) в Служба приложений Azure. Служба приложений предоставляет высокомасштабируемый веб-хостинг с автоматическим обновлением. Сертификаты в настоящее время называются сертификатами TLS. Ранее они были известны как сертификаты SSL. Эти частные или общедоступные сертификаты помогают защитить подключения к Интернету. Сертификаты шифруют данные, отправленные между браузером, веб-сайтами, которые вы посещаете, и сервером веб-сайтов.
В следующей таблице перечислены параметры добавления сертификатов в службу приложений.
| Вариант | Описание |
|---|---|
| Создание бесплатного управляемого сертификата Службы приложений | Частный сертификат, который бесплатно и легко использовать, если необходимо улучшить безопасность личного домена в службе приложений. |
| Импорт сертификата App Service | Azure управляет частным сертификатом. Он сочетает простоту автоматического управления сертификатами и гибкость возможностей продления и экспорта. |
| Импорт сертификата из Azure Key Vault | Полезно использовать Key Vault для управления сертификатами PKCS12. Ознакомьтесь с требованиями к закрытым сертификатам. |
| Загрузить приватный сертификат | Если у вас уже есть частный сертификат от поставщика, отличного от Майкрософт, его можно отправить. Ознакомьтесь с требованиями к закрытым сертификатам. |
| Загрузите публичный сертификат | Общедоступные сертификаты не используются для защиты пользовательских доменов, но их можно загрузить в код, если им нужен доступ к удаленным ресурсам. |
Предварительные условия
Создайте приложение службы приложений. План службы приложений должен находиться на уровне "Базовый", "Стандартный", "Премиум" или "Изолированный". Чтобы обновить уровень, см. статью "Масштабирование приложения".
Убедитесь, что частный сертификат соответствует всем требованиям Службы приложений.
Только бесплатный сертификат:
- Сопоставьте домен, для которого требуется предоставить сертификат, со Службой приложений. Дополнительные сведения см. в разделе Учебник: сопоставление существующего пользовательского DNS-имени с Служба приложений Azure.
- Для корневого домена (например, contoso.com), убедитесь, что у приложения нет ограничений IP-адресов . Создание сертификата и его периодическое продление для корневого домена зависит от доступности приложения из Интернета.
Требования к закрытым сертификатам
Бесплатный управляемый сертификат службы приложений и сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы решили передать или импортировать закрытый сертификат в Службу приложений, то этот сертификат должен соответствовать следующим требованиям. Он:
- Экспортируется в виде PFX-файла, защищенного паролем.
- Содержит все промежуточные сертификаты и корневой сертификат в цепочке сертификатов.
Если вы хотите защитить личный домен в привязке TLS, сертификат должен соответствовать следующим дополнительным требованиям:
- Содержит расширенное использование ключа для проверки подлинности сервера (OID = 1.3.6.1.5.5.7.3.1).
- Подписывается доверенным центром сертификации.
Примечание.
Сертификаты криптографии на эллиптических кривых (ECC) работают со службой приложений, когда загружены в формате PFX, но в настоящее время их невозможно импортировать из Key Vault. Они не рассматриваются этой статьей. За конкретными указаниями по созданию сертификатов ECC, обратитесь к своему центру сертификации.
После добавления частного сертификата в приложение сертификат хранится в модуле развертывания, привязанном к группе ресурсов плана службы приложений, региону и операционной системе (ОС). Внутренне это называется веб-пространством. Таким образом, сертификат доступен другим приложениям в той же группе ресурсов, регионе и сочетании ОС. Частные сертификаты, отправленные или импортированные в службу приложений, совместно используются службами приложений в одной единице развертывания.
Вы можете добавить до 1000 частных сертификатов на веб-пространство.
Создание бесплатного управляемого сертификата
Бесплатный управляемый сертификат для App Service — это готовое решение для защиты вашего пользовательского DNS-имени в App Service. Без каких-либо действий этот сертификат TLS/SSL-сервера полностью управляется службой приложений и автоматически обновляется, если необходимые условия, настроенные вами, остаются неизменными. Все соответствующие привязки обновлены с использованием обновлённого сертификата. Вам нужно создать сертификат и привязать его к личному домену, делегировав Службе приложений выполнение остальных действий.
Перед созданием бесплатного управляемого сертификата убедитесь, что выполнены необходимые условия для приложения.
DigiCert выдает бесплатные сертификаты. Для некоторых доменов необходимо явно разрешить DigiCert в качестве издателя сертификата, создав запись домена авторизации центра сертификации (CAA) со значением 0 issue digicert.com.
Azure полностью управляет сертификатами, поэтому любой аспект управляемого сертификата, включая корневого издателя, может изменяться в любое время. Обновление сертификатов изменяет как открытую, так и закрытую часть ключа. Все эти изменения сертификата находятся вне вашего контроля. Обязательно избегайте жёстких зависимостей и привязки сертификатов практики к управляемому сертификату или любой части иерархии сертификатов. Если требуется поведение закрепления сертификатов, добавьте сертификат в личный домен с помощью любого другого доступного метода в этой статье.
Бесплатный сертификат имеет следующие ограничения:
- не поддерживает групповые сертификаты;
- Не поддерживает использование в качестве клиентского сертификата с применением отпечатков сертификатов, которые планируется сначала устареть, а затем удалить.
- не поддерживает частные службы DNS;
- не экспортируется;
- Не поддерживается в Среда службы приложений.
- Поддерживает только буквенно-цифровые символы, дефисы (-) и точки (.).
- Поддерживает пользовательские домены длиной до 64 символов.
- Должен иметь запись A, указывающую на IP-адрес веб-приложения.
- Не поддерживается с корневыми доменами, интегрированными с Диспетчер трафика Azure.
- Должен соответствовать всем указанным выше критериям для успешной выдачи сертификатов и продления.
На портале Azure на левой панели выберите App Services><app-name>.
В левой области приложения выберите сертификаты. На панели управляемых сертификатов выберите "Добавить сертификат".
Выберите личный домен для бесплатного сертификата и нажмите кнопку "Проверить". После завершения проверки нажмите кнопку "Добавить". Вы можете создать только один управляемый сертификат для каждого поддерживаемого личного домена.
После завершения операции сертификат появится в списке управляемых сертификатов .
Чтобы обеспечить безопасность личного домена с этим сертификатом, необходимо создать привязку сертификата. Следуйте инструкциям в разделе Обеспечьте безопасность пользовательского DNS-имени при помощи привязки TLS/SSL в Служба приложений Azure.
Импорт сертификата App Service
Чтобы импортировать сертификат Службы приложений, сначала приобретите и настройте сертификат Службы приложений, а затем выполните шаги, описанные здесь.
На портале Azure в левой панели выберите Службы приложений><имя-приложения>.
В левой области приложения выберите "Сертификаты>" "Принести собственные сертификаты" (PFX)>Add certificate.
В разделе "Источник" выберите "Импорт сертификата службы приложений".
В разделе сертификат службы приложений выберите созданный сертификат.
В разделе "Понятное имя сертификата" присвойте сертификату имя в приложении.
Выберите Проверить. После успешной проверки нажмите кнопку "Добавить".
После завершения операции сертификат появится в списке "Принести собственные сертификаты" (PFX).
Чтобы защитить личный домен с помощью этого сертификата, необходимо создать привязку сертификата. Выполните действия, описанные в Защитите пользовательское DNS-имя с помощью привязки TLS/SSL в Служба приложений Azure.
Импорт сертификата из Key Vault
Если вы используете Key Vault для управления сертификатами, вы можете импортировать сертификат PKCS12 в службу приложений из Key Vault, если вы соответствуете требованиям.
Авторизуйте службу приложений для чтения данных из хранилища
По умолчанию поставщик ресурсов Службы приложений не имеет доступ к хранилищу ключей. Чтобы использовать хранилище ключей для развертывания сертификата, необходимо авторизовать доступ на чтение для поставщика ресурсов (Служба приложений) в хранилище ключей. Вы можете предоставить доступ с помощью политики доступа или управления доступом на основе ролей (RBAC).
| Поставщик ресурсов | Идентификатор приложения Service Principal / назначаемый пользователь | роль Key Vault RBAC |
|---|---|---|
Служба приложений Azure или Майкрософт.Azure.WebSites |
-
abfa0a7c-a6b6-4736-8310-5855508787cd для облачных служб Azure - 6a02c803-dafd-4136-b4c3-5a6f318b4714 для облачных услуг Azure для государственных организаций |
Пользователь сертификата |
Идентификатор приложения субъекта-службы или значение назначения — это идентификатор приложения (клиента) для поставщика ресурсов службы приложений.
Примечание.
Не удаляйте эти разрешения из Key Vault. Если это сделать, служба приложений не сможет синхронизировать веб-приложение с последней версией сертификата Key Vault.
Это важно
Значения в таблице — идентификаторы приложений (клиента). Если вы предоставляете роль пользователя сертификата Key Vault с помощью кода инфраструктуры (например, шаблонов ARM или Bicep), обычно необходимо использовать идентификатор объекта соответствующего корпоративного приложения (сервисного принципала) в клиенте Microsoft Entra. Использование идентификатора приложения работает с некоторыми инструментами (например, назначение ролей в Azure CLI), но назначения ролей ARM/Bicep обычно требуют идентификатора объекта учетной записи службы.
az role assignment create --role "Key Vault Certificate User" --assignee "abfa0a7c-a6b6-4736-8310-5855508787cd" --scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"
Примечание.
Если Key Vault настроен для отключения общедоступного доступа, установите флажок разрешить доверенным службам Microsoft обходить этот брандмауэр, чтобы убедиться, что службам Microsoft разрешен доступ. Дополнительные сведения см. в разделе Key Vault только доверенные службы с поддержкой брандмауэра.
Импорт сертификата из хранилища в приложение
На портале Azure на левой панели выберите App Services><app-name>.
В левой области приложения выберите "Сертификаты>" "Принести собственные сертификаты" (PFX)>Add certificate.
В разделе Source выберите Импорт из Key Vault.
Выберите сертификат хранилища ключей.
Скриншот, на котором отображается страница управления приложениями с выбранными пунктами: Сертификаты, Ваши собственные сертификаты (.pfx) и Импорт из Key Vault.
Чтобы воспользоваться помощью в выборе сертификата, используйте следующую таблицу:
Настройка Описание Подписка Подписка, связанная с хранилищем ключей. Хранилище ключей Хранилище ключей с сертификатом, который необходимо импортировать. Сертификат В этом списке выберите сертификат PKCS12, который находится в хранилище. Все сертификаты PKCS12 в хранилище перечислены с их отпечатками, но не все из них поддерживаются в службе приложений. После того как вы закончите выбор, нажмите Выбрать>, Проверить, а затем выберите Добавить.
После завершения операции сертификат появится в списке "Принести собственные сертификаты" (PFX). Если импорт завершается ошибкой, сертификат не соответствует требованиям для Службы приложений.
Если вы обновляете сертификат в Key Vault с новым сертификатом, служба приложений автоматически синхронизирует сертификат в течение 24 часов.
Чтобы защитить личный домен с помощью этого сертификата, необходимо создать привязку сертификата. Выполните действия, описанные в Защитить пользовательское DNS-имя с привязкой TLS/SSL в Служба приложений Azure.
Загрузить приватный сертификат
Получив сертификат от поставщика сертификатов, подготовьте его к использованию в Службе приложений, выполнив действия, описанные в этом разделе.
Объединение промежуточных сертификатов
Если центр сертификации предоставляет несколько сертификатов в цепочке сертификатов, необходимо объединить сертификаты, выполнив один и тот же порядок.
В текстовом редакторе откройте каждый полученный сертификат.
Чтобы сохранить объединенный сертификат, создайте файл с именем mergedcertificate.crt.
Скопируйте содержимое каждого сертификата в этот файл. Обязательно следуйте последовательности сертификатов, указанной цепочкой сертификатов. Начните с сертификата и заканчивайтесь корневым сертификатом, например:
-----BEGIN CERTIFICATE----- <your entire Base64 encoded SSL certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 1> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 2> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded root certificate> -----END CERTIFICATE-----
Экспорт объединенного закрытого сертификата в .pfx
Теперь экспортируйте объединенный сертификат TLS/SSL с закрытым ключом, который использовался для создания запроса на сертификат. Если вы создали запрос сертификата с помощью OpenSSL, создайте файл закрытого ключа.
OpenSSL версии 3 изменил шифр по умолчанию с 3DES на AES256. Используйте командную строку -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 для переопределения изменения.
OpenSSL версии 1 использует 3DES в качестве значения по умолчанию, поэтому созданные PFX-файлы поддерживаются без каких-либо специальных изменений.
Чтобы экспортировать сертификат в PFX-файл, выполните следующую команду. Замените заполнители <private-key-file> и <merged-certificate-file> путями к закрытому ключу и объединенному файлу сертификатов.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>При появлении запроса укажите пароль для операции экспорта. При отправке TLS/SSL-сертификата в Служба приложений позже необходимо указать этот пароль.
Если вы использовали IIS или Certreq.exe для создания запроса на сертификат, установите сертификат на локальный компьютер, а затем экспортируйте его в файл .pfx.
Отправка сертификата в Служба приложений
Теперь вы готовы отправить сертификат в службу приложений.
На портале Azure на левой стороне выберите App Services><app-name>.
В левой области приложения выберите " Сертификаты>", чтобы добавить собственные сертификаты (PFX)>Upload certificate (PFX).
Чтобы помочь загрузить PFX-сертификат, используйте следующую таблицу:
Настройка Описание PFX-файл сертификата Выберите PFX-файл. Пароль сертификата Введите пароль, созданный при экспорте PFX-файла. Удобное имя сертификата Имя сертификата, отображаемое в веб-приложении. После того как вы закончите выбор, нажмите Выбрать>, Проверить, а затем выберите Добавить.
После завершения операции сертификат появится в списке "Принести собственные сертификаты" (PFX).
Чтобы обеспечить безопасность личного домена с этим сертификатом, необходимо создать привязку сертификата. Выполните действия, описанные в Обеспечение безопасности пользовательского DNS-имени с привязкой TLS/SSL в Служба приложений Azure.
Загрузите публичный сертификат
Поддерживаются открытые сертификаты в формате CER.
После отправки общедоступного сертификата в приложение он доступен только приложением, в которое оно отправлено. Общедоступные сертификаты должны быть отправлены в каждое отдельное веб-приложение, которому требуется доступ. Обратитесь к документации по сертификатам и Среда службы приложений для сценариев, специфичных для Среда службы приложений.
Вы можете отправить до 1000 общедоступных сертификатов на план службы приложений.
На портале Azure на левой панели выберите App Services><app-name>.
В левой области приложения выберите сертификаты>открытого ключа (.cer)>Добавить сертификат.
Для помощи в загрузке сертификата .cer используйте следующую таблицу:
Настройка Описание файл сертификата .cer Выберите файл .cer. Удобное имя сертификата Имя сертификата, отображаемое в веб-приложении. После завершения нажмите кнопку "Добавить".
После отправки сертификата скопируйте отпечаток сертификата и ознакомьтесь с разделом Открытие доступа к сертификату.
Продление срока действия сертификата
До истечения срока действия сертификата обязательно добавьте обновленный сертификат в службу приложений. Обновите все привязки сертификатов, в которых процесс зависит от типа сертификата. Например, certificate, импортированный из Key Vault, включая сертификат службы App Service, автоматически синхронизируется со службой приложений каждые 24 часа и обновляет привязку TLS/SSL при продлении сертификата.
Для переданного сертификата не выполняется автоматическое обновление привязки. В зависимости от сценария просмотрите соответствующий раздел:
- Продление переданного сертификата
- Продление сертификата Службы приложений
- Обновить сертификат, импортированный из Key Vault
Продление переданного сертификата
При замене истекающего сертификата обновление привязки сертификата на новый может негативно повлиять на взаимодействие с пользователем. Например, ваш входящий IP-адрес может измениться при удалении привязки, даже если эта привязка основана на IP-адресе. Этот результат особенно эффективен при продлении сертификата, который уже находится в привязке на основе IP-адресов.
Чтобы избежать изменения IP-адреса приложения и избежать простоя приложения из-за ошибок HTTPS, выполните следующие действия.
Перейдите на страницу "Личные домены " для приложения, нажмите кнопку ... , а затем нажмите кнопку "Обновить привязку".
Выберите новый сертификат и нажмите кнопку "Обновить".
Удалите существующий сертификат.
Продление сертификата, импортированного из Key Vault
Чтобы обновить сертификат Служба приложений, см. раздел "Продление сертификата Служба приложений".
Чтобы обновить сертификат, импортированный в Службу приложений из Key Vault, см. раздел Обновление сертификата Azure Key Vault.
После продления сертификата в хранилище ключей Служба приложений автоматически синхронизирует новый сертификат и обновляет любую соответствующую привязку сертификата в течение 24 часов. Чтобы синхронизировать вручную, выполните следующие действия:
Перейдите на страницу сертификата приложения.
В разделе "Перенос собственных сертификатов ( PFX)" нажмите кнопку ... для импортированного сертификата хранилища ключей и нажмите кнопку "Синхронизация".
Часто задаваемые вопросы
Как автоматизировать процесс добавления собственного сертификата в приложение?
- Azure CLI. Привязка пользовательского СЕРТИФИКАТА TLS/SSL к веб-приложению
- Azure PowerShell. Привязка пользовательского СЕРТИФИКАТА TLS/SSL к веб-приложению с помощью PowerShell
Можно ли использовать частный сертификат ЦС для входящего TLS в приложении?
Сертификат частного центра сертификации (ЦС) можно использовать для входящего TLS в Среда службы приложений версии 3. Это действие невозможно в службе приложений (мультитенант). Дополнительные сведения о мультитенантном использовании службы приложений и одиночного клиента см. в разделе Сравнение Среда службы приложений v3 и публичных мультитенантных служб приложений.
Можно ли выполнять исходящие вызовы с помощью клиентского сертификата частного центра сертификации в моем приложении?
Эта возможность поддерживается для приложений контейнеров Windows только в мультитенантной службе приложений. Исходящие соединения можно выполнять, используя клиентский сертификат частного центра сертификации (ЦС) с приложениями, основанными на коде, и приложениями на основе контейнеров в Среда службы приложений версии 3. Дополнительные сведения о мультитенантном и одноклиентском использовании службы приложений см. в разделе Сравнение Среда службы приложений версии 3 и публичных мультитенантных служб приложений.
Можно ли загрузить частный сертификат ЦС в доверенном корневом хранилище службы приложений?
Вы можете загрузить свой сертификат удостоверяющего центра в доверенное корневое хранилище в среде службы приложений версии 3. Невозможно изменить список доверенных корневых сертификатов в службе приложений (мультитенант). Дополнительные сведения о мультитенантном использовании и одноклиентном использовании службы приложений см. в разделе Среда службы приложений версии 3 и сравнение мультитенантных служб общедоступного доступа.
Можно ли использовать сертификаты службы приложений для других служб?
Да. Вы можете экспортировать и использовать сертификаты службы приложений с Шлюз приложений Azure или другими службами. Дополнительные сведения см. в статье блога о создании локальной копии PFX-сертификата службы приложений.