Hinzufügen und Verwalten von TLS/SSL-Zertifikaten in Azure App Service

Sie können digitale Sicherheitszertifikate hinzufügen, die in Ihrem Anwendungscode verwendet werden sollen, oder um benutzerdefinierte DNS-Namen in Azure App Service zu sichern, der einen hoch skalierbaren, selbstpatchenden Webhostingdienst bietet. Derzeit als TLS-Zertifikate (Transport Layer Security) bezeichnet, zuvor auch als SSL-Zertifikate (Secure Socket Layer) bezeichnet, helfen Ihnen diese privaten oder öffentlichen Zertifikate, Internetverbindungen zu sichern, indem sie Daten verschlüsseln, die zwischen Ihrem Browser, Websites, die Sie besuchen, und dem Websiteserver gesendet werden.

In der folgenden Tabelle sind die Optionen zum Hinzufügen von Zertifikaten in App Service aufgeführt:

Option BESCHREIBUNG
Erstellen eines von App Service verwalteten Zertifikats Ein privates Zertifikat, das kostenlos und einfach zu verwenden ist, wenn Sie nur Ihre benutzerdefinierte Domäne in App Service schützen müssen
Importieren eines App Service-Zertifikats Ein von Azure verwaltetes privates Zertifikat. Es ermöglicht eine einfache automatisierte Zertifikatverwaltung und bietet flexible Verlängerungs- und Exportoptionen.
Importieren eines Zertifikats aus Key Vault Diese Option ist nützlich, wenn Sie Azure Key Vault für die Verwaltung Ihrer PKCS12-Zertifikate verwenden. Siehe Anforderungen an private Zertifikate
Hochladen eines privaten Zertifikats Wenn Sie bereits über ein privates Zertifikat von einem Drittanbieter verfügen, können Sie es hochladen. Siehe Anforderungen an private Zertifikate
Hochladen eines öffentlichen Zertifikats Öffentliche Zertifikate werden nicht zum Schützen benutzerdefinierter Domänen verwendet. Sie können sie jedoch in Ihren Code laden, wenn sie für den Zugriff auf Remoteressourcen benötigt werden.

Voraussetzungen

Anforderungen an private Zertifikate

Das von App Service verwaltete kostenlose Zertifikat und das App Service-Zertifikat erfüllen bereits die Anforderungen von App Service. Wenn Sie ein privates Zertifikat in App Service hochladen oder importieren möchten, muss Ihr Zertifikat die folgenden Anforderungen erfüllen:

  • Exportiert als kennwortgeschützte PFX-Datei, mit Triple DES verschlüsselt
  • Enthält einen privaten Schlüssel mit mindestens 2048 Bit
  • Enthält alle Zwischenzertifikate und das Stammzertifikat in der Zertifikatkette.

Zum Schützen einer benutzerdefinierten Domäne in einer TLS-Bindung gelten für das Zertifikat weitere Anforderungen:

  • Beinhaltet erweiterte Schlüsselverwendung für die Serverauthentifizierung (OID = 1.3.6.1.5.5.7.3.1).
  • Von einer vertrauenswürdigen Zertifizierungsstelle signiert

Hinweis

ECC-Zertifikate (Elliptic Curve Cryptography, Kryptografie für elliptische Kurven) funktionieren mit App Service, werden aber in diesem Artikel nicht behandelt. Erarbeiten Sie mit Ihrer Zertifizierungsstelle die einzelnen Schritte zum Erstellen von ECC-Zertifikaten.

Hinweis

Nachdem Sie einer App ein privates Zertifikat hinzugefügt haben, wird es in einer Bereitstellungseinheit gespeichert, die an die Kombination aus Ressourcengruppe, Region und Betriebssystem des App Service-Plans (intern als Webspace bezeichnet) gebunden ist. Dadurch wird das Zertifikat für andere Apps mit derselben Kombination aus Ressourcengruppe, Region und Betriebssystem zugänglich. In App Service hochgeladene oder importierte private Zertifikate werden in derselben Bereitstellungseinheit gemeinsam mit App Services genutzt.

Sie können bis zu 1.000 private Zertifikate pro Webspace hinzufügen.

Erstellen eines kostenlosen verwalteten Zertifikats

Das von App Service verwaltete kostenlose Zertifikat ist eine vorgefertigte Lösung zum Schützen Ihres benutzerdefinierten DNS-Namens in App Service. Ohne, dass Sie etwas tun müssen, wird dieses TLS-/SSL-Serverzertifikat vollständig von App Service verwaltet und kontinuierlich sowie automatisch in Sechsmonatsinkrementen 45 Tage vor Ablauf erneuert, solange die von Ihnen eingerichteten Voraussetzungen unverändert bleiben. Alle zugeordneten Bindungen werden mit dem erneuerten Zertifikat aktualisiert. Sie erstellen das Zertifikat, binden es an eine benutzerdefinierte Domäne und lassen App Service den Rest erledigen.

Wichtig

Stellen Sie vor dem Erstellen eines kostenlosen verwalteten Zertifikats sicher, dass für Ihre App die Voraussetzungen erfüllt sind.

Kostenlose Zertifikate werden von DigiCert ausgestellt. Bei einigen Domänen müssen Sie DigiCert explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem folgenden Wert erstellen: 0 issue digicert.com.

Azure verwaltet die Zertifikate vollständig in Ihrem Auftrag, weshalb jeder Aspekt des verwalteten Zertifikats, einschließlich des Stammausstellers, sich jederzeit ändern kann. Diese Änderungen unterliegen nicht Ihrer Kontrolle. Stellen Sie sicher, dass Sie eine harte Abhängigkeit oder eine „Anheftung“ des Zertifikats an das verwaltete Zertifikat oder einen beliebigen anderen Teil der Zertifikathierarchie vermeiden Wenn Sie das Verhalten der Zertifikatanheftung benötigen, fügen Sie Ihrer benutzerdefinierten Domäne ein Zertifikat mit einer der anderen verfügbaren Methode in diesem Artikel hinzu.

Für das kostenlose Zertifikat gelten die folgenden Einschränkungen:

  • Platzhalterzertifikate werden nicht unterstützt.
  • Die Verwendung als Clientzertifikat unter Verwendung des Zertifikatfingerabdrucks wird nicht unterstützt (dessen Einstellung und Entfernung ist geplant).
  • Privates DNS wird nicht unterstützt.
  • Ist nicht exportierbar.
  • Wird nicht in eine App Service-Umgebung (ASE) exportiert.
  • Unterstützt nur alphanumerische Zeichen, Bindestriche (-) und Punkte (.).
  • Es werden nur benutzerdefinierte Domänen mit einer Länge von bis zu 64 Zeichen unterstützt.
  • Muss über einen A-Datensatz verfügen, der auf die IP-Adresse Ihrer Web-App verweisen kann.
  • Wird in nicht öffentlich zugänglichen Apps nicht unterstützt.
  • Es wird nicht mit Stammdomänen unterstützt, die in Traffic Manager integriert sind.
  • Für die erfolgreiche Ausstellung und Verlängerung von Zertifikaten müssen alle oben genannten Bedingungen erfüllt sein.
  1. Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

  2. Wählen Sie im Navigationsmenü Ihrer App Zertifikate aus. Wählen Sie im Bereich Verwaltete Zertifikate die Option Zertifikat hinzufügen aus.

    Screenshot des Anwendungsmenüs mit den Optionen „Zertifikate“, „Verwaltete Zertifikate“ und „Zertifikat hinzufügen“

  3. Wählen Sie die benutzerdefinierte Domäne für das kostenlose Zertifikat aus, und wählen Sie dann Überprüfen aus. Wählen Sie nach Abschluss der Überprüfung Hinzufügen aus. Sie können nur ein verwaltetes Zertifikat für jede unterstützte benutzerdefinierte Domäne erstellen.

    Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Verwaltete Zertifikate angezeigt.

    Screenshot des Bereichs „Verwaltete Zertifikate“ mit aufgelistetem, neu erstelltem Zertifikat

  4. Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte in Sichern eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service aus.

Importieren eines App Service-Zertifikats

Um ein App Service-Zertifikat zu importieren, kaufen und konfigurieren Sie zuerst ein App Service-Zertifikat, und führen Sie dann die folgenden Schritte aus.

  1. Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

  2. Wählen Sie im Navigationsmenü Ihrer Anwendung Zertifikate>Eigene Zertifikate (PFX) einbringen>Zertifikat hinzufügen aus.

  3. Wählen Sie unter Quelle die Option App Service-Zertifikat importieren aus.

  4. Wählen Sie in App Service-Zertifikat das soeben erstellte Zertifikat aus.

  5. Geben Sie unter Anzeigename des Zertifikats dem Zertifikat einen Namen in Ihrer Anwendung.

  6. Wählen Sie Überprüfen aus. Wenn die Überprüfung erfolgreich war, wählen Sie Hinzufügen aus.

    Screenshot der Anwendungsverwaltungsseite mit den Optionen „Zertifikate“, „Eigene Zertifikate (PFX) einbringen“ und „App Service-Zertifikat importieren“ sowie der ausgefüllten Seite „Privatschlüsselzertifikat hinzufügen“ mit der Schaltfläche **Überprüfen**

    Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Eigene Zertifikate einbringen angezeigt.

    Screenshot des Bereichs „Eigene Zertifikate einbringen“ mit aufgelistetem, gekauftem Zertifikat

  7. Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte in Sichern eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service aus.

Importieren eines Zertifikats aus Key Vault

Wenn Sie Ihre Zertifikate mit Azure Key Vault verwalten, können Sie ein PKCS12-Zertifikat aus Key Vault in App Service importieren, sofern Sie die Anforderungen erfüllen.

Autorisieren von App Service für das Lesen aus dem Tresor

Der App Service-Ressourcenanbieter hat standardmäßig keinen Zugriff auf Ihren Schlüsseltresor. Damit Sie einen Schlüsseltresor für eine Zertifikatbereitstellung verwenden können, müssen Sie den Lesezugriff des Ressourcenanbieters auf den Schlüsseltresor autorisieren.

Hinweis

Aktuell unterstützt ein Key Vault-Zertifikat nur die Key Vault-Zugriffsrichtlinie, nicht das RBAC-Modell.

Ressourcenanbieter Dienstprinzipal-AppId Berechtigungen für Schlüsseltresorgeheimnisse Schlüsseltresor-Zertifkatberechtigungen
Microsoft Azure App Service oder Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd, der für alle Azure-Abonnements identisch ist

- Verwenden Sie für die Azure Government-Cloudumgebung 6a02c803-dafd-4136-b4c3-5a6f318b4714.
Herunterladen Herunterladen
Microsoft.Azure.CertificateRegistration Herunterladen
List
Set
Löschen
Herunterladen
List

Importieren eines Zertifikats aus dem Tresor in Ihre App

  1. Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

  2. Wählen Sie im Navigationsmenü Ihrer Anwendung Zertifikate>Eigene Zertifikate (PFX) einbringen>Zertifikat hinzufügen aus.

  3. Wählen Sie unter Quelle die Option Aus Key Vault importieren aus.

  4. Wählen Sie Key Vault-Zertifikat auswählen aus.

    Screenshot der Anwendungsverwaltungsseite mit den ausgewählten Optionen „Zertifikate“,

  5. Die folgende Tabelle unterstützt Sie beim Auswählen des Zertifikats:

    Einstellung Beschreibung
    Abonnement Das Abonnement, das dem Schlüsseltresor zugeordnet ist.
    Key vault Der Schlüsseltresor mit dem zu importierenden Zertifikat.
    Certificate Wählen Sie in dieser Liste ein PKCS12-Zertifikat aus, das sich im Tresor befindet. Alle PKCS12-Zertifikate im Tresor sind mit ihrem Fingerabdruck aufgelistet, es werden jedoch nicht alle in App Service unterstützt.
  6. Wenn Sie ihre Auswahl abgeschlossen haben, wählen Sie Auswählen, Überprüfen und dann Hinzufügen aus.

    Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Eigene Zertifikate einbringen angezeigt. Tritt beim Importieren ein Fehler auf, erfüllt das Zertifikat nicht die Anforderungen für App Service.

    Screenshot des Bereichs „Eigene Zertifikate (PFX) einbringen“ mit aufgelistetem, importiertem Zertifikat

    Hinweis

    Wenn Sie Ihr Zertifikat in Key Vault mit einem neuen Zertifikat aktualisieren, synchronisiert App Service Ihr Zertifikat automatisch innerhalb von 24 Stunden.

  7. Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte in Sichern eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service aus.

Hochladen eines privaten Zertifikats

Nachdem Sie ein Zertifikat von Ihrem Zertifikatanbieter erhalten haben, bereiten Sie das Zertifikat für App Service vor, indem Sie die Schritte in diesem Abschnitt ausführen.

Zusammenführen von Zwischenzertifikaten

Wenn Ihre Zertifizierungsstelle Ihnen mehrere Zertifikate in der Zertifikatkette bereitstellt, müssen Sie die Zertifikate in derselben Reihenfolge zusammenführen.

  1. Öffnen Sie in einem Text-Editor jedes empfangene Zertifikat.

  2. Um das zusammengeführte Zertifikat zu speichern, erstellen Sie eine Datei namens mergedcertificate.crt.

  3. Kopieren Sie den Inhalt für jedes Zertifikat in diese Datei. Stellen Sie sicher, dass Sie die durch die Zertifikatkette angegebene Zertifikatabfolge befolgen, beginnend mit Ihrem Zertifikat und enden mit dem Stammzertifikat, z. B.:

    -----BEGIN CERTIFICATE-----
    <your entire Base64 encoded SSL certificate>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 1>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 2>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded root certificate>
    -----END CERTIFICATE-----
    

Exportieren eines zusammengeführten privaten Zertifikats nach PFX

Exportieren Sie nun Ihr zusammengeführtes TLS-/SSL-Zertifikat mit dem privaten Schlüssel, mit dem Ihre Zertifikatanforderung generiert wurde. Wenn Sie Ihre Zertifikatanforderung mittels OpenSSL generiert haben, haben Sie eine Datei mit dem privaten Schlüssel erstellt.

Hinweis

OpenSSL v3 hat die Standardchiffre von 3DES in AES256 geändert, aber dies kann über die Befehlszeile „-keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1“ außer Kraft gesetzt werden. OpenSSL v1 verwendet 3DES als Standard, sodass die generierten PFX-Dateien ohne spezielle Änderungen unterstützt werden.

  1. Um Ihr Zertifikat in eine PFX-Datei zu exportieren, führen Sie den folgenden Befehl aus, aber ersetzen Sie die Platzhalter <private-key-file> und <merged-certificate-file> durch die Pfade zu Ihrem privaten Schlüssel und der Datei des zusammengeführten Zertifikats.

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
    
  2. Wenn Sie dazu aufgefordert werden, geben Sie ein Kennwort für den Exportvorgang an. Wenn Sie Ihr TLS-/SSL-Zertifikat später in App Service hochladen, müssen Sie dieses Kennwort angeben.

  3. Wenn Sie IIS oder Certreq.exe zum Generieren Ihrer Zertifikatanforderung verwendet haben, installieren Sie das Zertifikat auf Ihrem lokalen Computer, und exportieren Sie das Zertifikat in eine PFX-Datei.

Hochladen eines Zertifikats in App Service

Nun können Sie das Zertifikat in App Service hochladen.

  1. Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

  2. Wählen Sie im Navigationsmenü Ihrer Anwendung Zertifikate>Eigene Zertifikate (PFX) einbringen>Zertifikat hochladen aus.

    Screenshot der ausgewählten Optionen „Zertifikate“, „Eigene Zertifikate (PFX) einbringen“ und „Zertifikat hochladen“

  3. Verwenden Sie die folgende Tabelle, um das PFX-Zertifikat hochzuladen:

    Einstellung Beschreibung
    PFX-Zertifikatdatei Wählen Sie Ihre PFX-Datei aus.
    Zertifikatskennwort Geben Sie das Kennwort ein, das Sie beim Exportieren der PFX-Datei erstellt haben.
    Anzeigename des Zertifikats Der Zertifikatname, der in Ihrer Web-App angezeigt wird.
  4. Wenn Sie ihre Auswahl abgeschlossen haben, wählen Sie Auswählen, Überprüfen und dann Hinzufügen aus.

    Nach Abschluss des Vorgangs wird das Zertifikat in der Liste Eigene Zertifikate einbringen angezeigt.

    Screenshot des Bereichs „Eigene Zertifikate einbringen“ mit aufgelistetem, hochgeladenem Zertifikat

  5. Sie müssen noch eine Zertifikatsbindung erstellen, um eine benutzerdefinierte Domäne mit diesem Zertifikat zu schützen. Führen Sie die Schritte in Sichern eines benutzerdefinierten DNS-Namens mit einer TLS-/SSL-Bindung in Azure App Service aus.

Hochladen eines öffentlichen Zertifikats

Öffentliche Zertifikate werden im Format .cer-Format unterstützt.

Hinweis

Nachdem Sie ein öffentliches Zertifikat in eine App hochgeladen haben, kann nur von der App darauf zugegriffen werden, in die es hochgeladen wurde. Öffentliche Zertifikate müssen in jede einzelne Web-App hochgeladen werden, die Zugriff benötigt. Spezifische Szenarien für die App Service-Umgebung finden Sie in der Dokumentation zu Zertifikaten und zur App Service-Umgebung.

Sie können bis zu 1000 öffentliche Zertifikate pro App Service-Plan hochladen.

  1. Wählen Sie im Azure-Portal im linken Menü App Services><App-Name> aus.

  2. Wählen Sie im Navigationsmenü Ihrer App Zertifikate>Öffentliche Schlüsselzertifikate (CER)>Zertifikat hinzufügen aus.

  3. Verwenden Sie die folgende Tabelle, um das CER-Zertifikat hochzuladen:

    Einstellung Beschreibung
    CER-Zertifikatdatei Wählen Sie Ihre CER-Datei aus.
    Anzeigename des Zertifikats Der Zertifikatname, der in Ihrer Web-App angezeigt wird.
  4. Wenn Sie fertig sind, wählen Sie Hinzufügen aus.

    Screenshot von Name und dem hochzuladenden öffentlichem Schlüsselzertifikat.

  5. Nachdem das Zertifikat hochgeladen wurde, kopieren Sie den Zertifikatfingerabdruck, und lesen Sie dann Sicherstellen, dass auf das Zertifikat zugegriffen werden kann.

Verlängern eines abgelaufenen Zertifikats

Bevor ein Zertifikat abläuft, stellen Sie sicher, dass Sie das verlängerte Zertifikat zu App Service hinzufügen und alle Zertifikatbindungen aktualisieren, bei denen der Prozess vom Zertifikattyp abhängt. Ein aus Key Vault importiertes Zertifikat, einschließlich eines App Service-Zertifikats, wird beispielsweise automatisch alle 24 Stunden mit App Service synchronisiert und aktualisiert die TLS/SSL-Bindung, wenn Sie das Zertifikat verlängern. Für ein hochgeladenes Zertifikat erfolgt keine automatische Aktualisierung der Bindung. Lesen Sie basierend auf Ihrem Szenario den entsprechenden Abschnitt:

Verlängern eines hochgeladenen Zertifikats

Wenn Sie ablaufendes Zertifikat ersetzen, kann sich die Art, wie Sie die Zertifikatbindung mit dem neuen Zertifikat aktualisieren, negativ auf die Benutzererfahrung auswirken. Ihre IP-Adresse für eingehenden Datenverkehr kann sich z. B. ändern, wenn Sie eine Bindung löschen, auch wenn diese Bindung IP-basiert ist. Dieses Ergebnis ist besonders folgenträchtig, wenn Sie ein Zertifikat erneuern, das sich bereits in einer IP-basierten Bindung befindet. Um zu vermeiden, dass sich die IP-Adresse Ihrer App ändert und Ihre App aufgrund von HTTPS-Fehlern ausfällt, führen Sie die folgenden Schritte in der angegebenen Reihenfolge aus:

  1. Laden Sie das neue Zertifikat hoch.

  2. Wechseln Sie zur Seite Benutzerdefinierte Domänen für Ihre Anwendung, wählen Sie die Aktionsschaltfläche ... aus, und wählen Sie Bindung aktualisieren aus.

  3. Wählen Sie das neue Zertifikat und dann Aktualisieren aus.

  4. Löschen Sie das vorhandene Zertifikat.

Verlängern eines aus Azure Key Vault importierten Zertifikats

Hinweis

Informationen zum Verlängern eines App Service-Zertifikats finden Sie unter Erneuern eines App Service-Zertifikats.

Informationen zum Verlängern eines Zertifikats, das Sie aus Key Vault in App Service importiert haben, finden Sie unter Verlängern Ihres Azure Key Vault-Zertifikats.

Nachdem das Zertifikat in Ihrem Schlüsseltresor verlängert wurde, synchronisiert App Service das neue Zertifikat automatisch und aktualisiert alle zugehörigen Zertifikatbindungen innerhalb von 24 Stunden. Zum manuellen Synchronisieren gehen Sie folgendermaßen vor:

  1. Wechseln Sie zur Seite Zertifikat Ihrer Anwendung.

  2. Wählen Sie unter Eigenes Zertifikat (PFX) einbringen die Detailschaltfläche ... aus, um zum importierten Schlüsseltresorzertifikat zu gelangen, und wählen Sie dann Synchronisieren aus.

Häufig gestellte Fragen

Wie kann ich das Hinzufügen eines „Eigenes-Zertifikat-einbringen“-Zertifikats zu einer Anwendung automatisieren?

Kann ich ein privates Zertifizierungsstellenzertifikat in meiner App konfigurieren?

App Service verfügt über eine Liste vertrauenswürdiger Stammzertifikate, die Sie in der mehrinstanzenfähigen Variantenversion von App Service nicht ändern können. Sie können jedoch Ihr eigenes Zertifizierungsstellenzertifikat im vertrauenswürdigen Stammspeicher in einer App Service-Umgebung (ASE) laden, bei der es sich um eine einzelinstanzenfähige Umgebung in App Service handelt. (Die App Service-Pläne Free, Basic, Standard und Premium sind alle mehrinstanzenfähig, und die isolierten Pläne sind einzelinstanzenfähig.)

Weitere Ressourcen