Azure App Service'te TLS/SSL sertifikaları ekleme ve yönetme
Uygulama kodunuzda kullanmak veya yüksek oranda ölçeklenebilir, kendi kendine düzeltme eki uygulama hizmeti sağlayan Azure Uygulaması Hizmeti'nde özel DNS adlarının güvenliğini sağlamak için dijital güvenlik sertifikaları ekleyebilirsiniz. Şu anda Aktarım Katmanı Güvenliği (TLS) sertifikaları olarak adlandırılan ve daha önce Güvenli Yuva Katmanı (SSL) sertifikaları olarak da bilinen bu özel veya genel sertifikalar tarayıcınız, ziyaret ettiğiniz web siteleri ve web sitesi sunucusu arasında gönderilen verileri şifreleyerek İnternet bağlantılarının güvenliğini sağlamanıza yardımcı olur.
Aşağıdaki tabloda, App Service'te sertifika ekleme seçenekleriniz listelenmiştir:
| Seçenek | Açıklama |
|---|---|
| Ücretsiz App Service yönetilen sertifikası oluşturma | App Service'te özel etki alanınızın güvenliğini sağlamanız gerekiyorsa ücretsiz ve kullanımı kolay bir özel sertifika . |
| App Service sertifikalarını içeri aktarma | Azure tarafından yönetilen özel sertifika. Otomatik sertifika yönetiminin basitliğini ve yenileme ve dışarı aktarma seçeneklerinin esnekliğini birleştirir. |
| Key Vault'tan sertifika içeri aktarma | PKCS12 sertifikalarınızı yönetmek için Azure Key Vault kullanıyorsanız kullanışlıdır. Bkz. Özel sertifika gereksinimleri. |
| Özel sertifikayı karşıya yükleme | Üçüncü taraf sağlayıcıdan özel bir sertifikanız zaten varsa, bunu karşıya yükleyebilirsiniz. Bkz. Özel sertifika gereksinimleri. |
| Ortak sertifikayı karşıya yükleme | Ortak sertifikalar özel etki alanlarının güvenliğini sağlamak için kullanılmaz, ancak uzak kaynaklara erişmeleri gerekiyorsa bunları kodunuz içine yükleyebilirsiniz. |
Önkoşullar
App Service uygulaması oluşturma. Uygulamanın App Service planı Temel, Standart, Premium veya Yalıtılmış katmanında olmalıdır. Katmanı güncelleştirmek için bkz . Uygulamanın ölçeğini artırma.
Özel bir sertifika için App Service'in tüm gereksinimlerini karşıladığından emin olun.
Yalnızca ücretsiz sertifika:
Sertifikayı istediğiniz etki alanını App Service'e eşleyin. Bilgi için bkz. Öğretici: Mevcut özel DNS adını Azure Uygulaması Hizmeti ile eşleme.
Kök etki alanı (contoso.com gibi) için uygulamanızın yapılandırılmış IP kısıtlaması olmadığından emin olun. Hem sertifika oluşturma hem de kök etki alanı için düzenli yenileme, uygulamanızın İnternet'ten erişilebilir olmasına bağlıdır.
Özel sertifika gereksinimleri
Ücretsiz App Service tarafından yönetilen sertifika ve App Service sertifikası, App Service gereksinimlerini zaten karşılıyor. Özel bir sertifikayı App Service'e yüklemeyi veya içeri aktarmayı seçerseniz, sertifikanızın aşağıdaki gereksinimleri karşılaması gerekir:
- Parola korumalı PFX dosyası olarak, üçlü DES kullanılarak şifrelenmiş olarak dışarı aktarılır.
- En az 2048 bit uzunluğunda özel anahtar içerir
- Sertifika zincirindeki tüm ara sertifikaları ve kök sertifikayı içerir.
BIR TLS bağlamasında özel etki alanının güvenliğini sağlamak için sertifikanın daha fazla gereksinimi vardır:
- Sunucu kimlik doğrulaması için Genişletilmiş Anahtar Kullanımı içerir (OID = 1.3.6.1.5.5.7.3.1)
- Güvenilir bir sertifika yetkilisi tarafından imzalanmış
Not
Elliptic Curve Cryptography (ECC) sertifikaları App Service ile çalışır ancak bu makale kapsamında değildir. ECC sertifikaları oluşturmanın tam adımları için sertifika yetkilinizle birlikte çalışın.
Not
Bir uygulamaya özel sertifika ekledikten sonra, sertifika App Service planının kaynak grubuna, bölgesine ve işletim sistemi bileşimine bağlı olan ve dahili olarak web alanı olarak adlandırılan bir dağıtım biriminde depolanır. Bu şekilde sertifikaya aynı kaynak grubu, bölge ve işletim sistemi bileşimindeki diğer uygulamalar erişebilir. App Service'e yüklenen veya içeri aktarılan özel sertifikalar aynı dağıtım birimindeki App Services ile paylaşılır.
Web alanı başına en fazla 1000 özel sertifika ekleyebilirsiniz.
Ücretsiz yönetilen sertifika oluşturma
Ücretsiz App Service yönetilen sertifikası, App Service'te özel DNS adınızın güvenliğini sağlamaya yönelik anahtar teslimi bir çözümdür. Sizin herhangi bir eyleminiz olmadan, bu TLS/SSL sunucu sertifikası App Service tarafından tamamen yönetilir ve ayarladığınız önkoşullar aynı kaldığı sürece, süresi dolmadan 45 gün önce altı aylık artışlarla otomatik olarak sürekli yenilenir. tüm ilişkili bağlamalar yenilenen sertifikayla güncelleştirilir. Sertifikayı oluşturup özel bir etki alanına bağlarsınız ve gerisini App Service'in yapmasına izin verirsiniz.
Önemli
Ücretsiz yönetilen sertifika oluşturmadan önce uygulamanızın önkoşullarını karşıladığınızdan emin olun.
Ücretsiz sertifikalar DigiCert tarafından verilir. Bazı etki alanları için, şu değere sahip bir CAA etki alanı kaydı oluşturarak sertifika veren olarak DigiCert'e açıkça izin vermelisiniz: 0 issue digicert.com.
Azure sertifikaları sizin yerinize tam olarak yönetir, böylece kök veren de dahil olmak üzere yönetilen sertifikanın her yönü istediğiniz zaman değişebilir. Bu değişiklikler denetiminizin dışındadır. Sabit bağımlılıklardan ve uygulama sertifikalarını yönetilen sertifikaya veya sertifika hiyerarşisinin herhangi bir bölümüne "sabitlemekten" kaçının. Sertifika sabitleme davranışına ihtiyacınız varsa, bu makaledeki diğer kullanılabilir yöntemleri kullanarak özel etki alanınıza bir sertifika ekleyin.
Ücretsiz sertifika aşağıdaki sınırlamalarla birlikte gelir:
- Joker karakter sertifikalarını desteklemez.
- Kullanımdan kaldırılması ve kaldırılması planlanan sertifika parmak izi kullanılarak istemci sertifikası olarak kullanımı desteklemez.
- Özel DNS'i desteklemez.
- Dışarı aktarılamaz.
- App Service Ortamı (ASE) içinde desteklenmez.
- Yalnızca alfasayısal karakterleri, kısa çizgileri (-) ve nokta (.) destekler.
- Yalnızca en fazla 64 karakter uzunluğundaki özel etki alanları desteklenir.
- Web uygulamanızın IP adresine işaret eden bir A kaydı olmalıdır.
- Genel erişime açık olmayan uygulamalarda desteklenmez.
- Traffic Manager ile tümleştirilmiş kök etki alanlarında desteklenmez.
- Başarılı sertifika verme ve yenileme işlemleri için yukarıdakilerin tümünü karşılaması gerekir.
Azure portalında, soldaki menüden App Services<>uygulama adı'nı> seçin.
Uygulamanızın gezinti menüsünde Sertifikalar'ı seçin. Yönetilen sertifikalar bölmesinde Sertifika ekle'yi seçin.
Ücretsiz sertifika için özel etki alanını seçin ve ardından Doğrula'yı seçin. Doğrulama tamamlandığında Ekle'yi seçin. Desteklenen her özel etki alanı için yalnızca bir yönetilen sertifika oluşturabilirsiniz.
İşlem tamamlandığında, sertifika Yönetilen sertifikalar listesinde görünür.
Bu sertifikayla özel bir etki alanının güvenliğini sağlamak için yine de bir sertifika bağlaması oluşturmanız gerekir. Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama bölümünde yer alan adımları izleyin.
App Service sertifikalarını içeri aktarma
App Service sertifikasını içeri aktarmak için önce bir App Service sertifikası satın alın ve yapılandırın, ardından buradaki adımları izleyin.
Azure portalında, soldaki menüden App Services<>uygulama adı'nı> seçin.
Uygulamanızın gezinti menüsünde Sertifikalar>Kendi sertifikalarınızı getirin (.pfx)Sertifika ekle'yi> seçin.
Kaynak bölümünde App Service Sertifikalarını İçeri Aktar'ı seçin.
App Service sertifikası'nda yeni oluşturduğunuz sertifikayı seçin.
Sertifika kolay adı bölümünde, sertifikaya uygulamanızda bir ad verin.
Doğrula'yı seçin. Doğrulama başarılı olduğunda Ekle'yi seçin.
İşlem tamamlandığında, sertifika Kendi sertifikalarınızı getirin listesinde görünür.
Bu sertifikayla özel bir etki alanının güvenliğini sağlamak için yine de bir sertifika bağlaması oluşturmanız gerekir. Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama bölümünde yer alan adımları izleyin.
Key Vault'tan sertifika içeri aktarma
Sertifikalarınızı yönetmek için Azure Key Vault kullanıyorsanız, gereksinimleri karşılıyorsanız Bir PKCS12 sertifikasını Key Vault'tan App Service'e aktarabilirsiniz.
App Service'i kasadan okuma yetkisi verme
Varsayılan olarak App Service kaynak sağlayıcısının anahtar kasanıza erişimi yoktur. Sertifika dağıtımında anahtar kasası kullanmak için, kaynak sağlayıcısının anahtar kasasına okuma erişimini yetkilendirmeniz gerekir.
Not
Şu anda Azure portalı, RBAC modelini kullanmak için Key Vault'ta app service sertifikası yapılandırmanıza izin vermiyor. Ancak bu yapılandırmayı gerçekleştirmek için Azure CLI, Azure PowerShell veya ARM şablonu dağıtımı kullanabilirsiniz. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.
| Kaynak sağlayıcısı | Hizmet sorumlusu AppId | Anahtar kasası gizli dizi izinleri | Anahtar kasası sertifika izinleri |
|---|---|---|---|
| Microsoft Azure Uygulaması Hizmeti veya Microsoft.Azure.WebSites | - abfa0a7c-a6b6-4736-8310-5855508787cd, tüm Azure abonelikleri için aynıdır - Azure Kamu bulut ortamı için kullanın 6a02c803-dafd-4136-b4c3-5a6f318b4714. |
Al | Al |
| Microsoft.Azure.CertificateRegistration | Al Liste Ayarla Sil |
Al Liste |
Kasanızdan uygulamanıza sertifika aktarma
Azure portalında, soldaki menüden App Services<>uygulama adı'nı> seçin.
Uygulamanızın gezinti menüsünde Sertifikalar>Kendi sertifikalarınızı getirin (.pfx)Sertifika ekle'yi> seçin.
Kaynak bölümünde Key Vault'tan içeri aktar'ı seçin.
Anahtar kasası sertifikası seç'i seçin.
Sertifikayı seçmenize yardımcı olması için aşağıdaki tabloyu kullanın:
Ayar Açıklama Abonelik Anahtar kasasıyla ilişkili abonelik. Anahtar kasası İçeri aktarmak istediğiniz sertifikayı içeren anahtar kasası. Sertifika Bu listeden kasada bulunan bir PKCS12 sertifikası seçin. Kasadaki tüm PKCS12 sertifikaları parmak izleriyle birlikte listelenir, ancak App Service'te tüm sertifikalar desteklenmez. Seçiminizi bitirdiğinizde Seç, Doğrula'yı ve ardından Ekle'yi seçin.
İşlem tamamlandığında, sertifika Kendi sertifikalarınızı getirin listesinde görünür. İçeri aktarma işlemi bir hatayla başarısız olursa, sertifika App Service gereksinimlerini karşılamıyor.
Not
Key Vault'taki sertifikanızı yeni bir sertifikayla güncelleştirirseniz, App Service sertifikanızı 24 saat içinde otomatik olarak eşitler.
Bu sertifikayla özel bir etki alanının güvenliğini sağlamak için yine de bir sertifika bağlaması oluşturmanız gerekir. Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama bölümünde yer alan adımları izleyin.
Özel sertifikayı karşıya yükleme
Sertifika sağlayıcınızdan bir sertifika aldıktan sonra, bu bölümdeki adımları izleyerek sertifikayı App Service için hazır hale getirin.
Ara sertifikaları birleştirme
Sertifika yetkiliniz size sertifika zincirinde birden çok sertifika veriyorsa, sertifikaları aynı sırayla birleştirmeniz gerekir.
Bir metin düzenleyicisinde, alınan her sertifikayı açın.
Birleştirilmiş sertifikayı depolamak için mergedcertificate.crt adlı bir dosya oluşturun.
Her sertifikanın içeriğini bu dosyaya kopyalayın. Sertifikanızla başlayıp kök sertifikayla biten sertifika zinciri tarafından belirtilen sertifika dizisini izlediğinizden emin olun, örneğin:
-----BEGIN CERTIFICATE----- <your entire Base64 encoded SSL certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 1> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded intermediate certificate 2> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The entire Base64 encoded root certificate> -----END CERTIFICATE-----
Birleştirilmiş özel sertifikayı PFX'e dışarı aktarma
Şimdi, birleştirilmiş TLS/SSL sertifikanızı sertifika isteğinizi oluşturmak için kullanılan özel anahtarla dışarı aktarın. Sertifika isteğinizi OpenSSL kullanarak oluşturduysanız bir özel anahtar dosyası oluşturmuşsunuz demektir.
Not
OpenSSL v3, varsayılan şifrelemeyi 3DES'den AES256'ya değiştirdi, ancak bu, -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 komut satırında geçersiz kılınabilir. OpenSSL v1 varsayılan olarak 3DES kullanır, bu nedenle oluşturulan PFX dosyaları herhangi bir özel değişiklik yapılmadan desteklenir.
Sertifikanızı bir PFX dosyasına aktarmak için aşağıdaki komutu çalıştırın, ancak private-key-file ve< merged-certificate-file>> yer tutucularını <özel anahtarınızın ve birleştirilmiş sertifika dosyanızın yolları ile değiştirin.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>İstendiğinde dışarı aktarma işlemi için bir parola belirtin. TLS/SSL sertifikanızı daha sonra App Service'e yüklediğinizde, bu parolayı sağlamanız gerekir.
Sertifika isteğinizi oluşturmak için IIS veya Certreq.exe kullandıysanız sertifikayı yerel bilgisayarınıza yükleyin ve sertifikayı bir PFX dosyasına aktarın.
App Service'e sertifika yükleme
Artık sertifikayı App Service'e yüklemeye hazırsınız.
Azure portalında, soldaki menüden App Services<>uygulama adı'nı> seçin.
Uygulamanızın gezinti menüsünde Sertifikalar>Kendi sertifikalarınızı getirin (.pfx)Sertifikayı karşıya yükle'yi> seçin.
.pfx sertifikasını karşıya yüklemenize yardımcı olmak için aşağıdaki tabloyu kullanın:
Ayar Açıklama PFX sertifika dosyası .pfx dosyanızı seçin. Sertifika parolası PFX dosyasını dışarı aktarırken oluşturduğunuz parolayı girin. Sertifika kolay adı Web uygulamanızda gösterilecek sertifika adı. Seçiminizi bitirdiğinizde Seç, Doğrula'yı ve ardından Ekle'yi seçin.
İşlem tamamlandığında, sertifika Kendi sertifikalarınızı getirin listesinde görünür.
Bu sertifikayla özel bir etki alanının güvenliğini sağlamak için yine de bir sertifika bağlaması oluşturmanız gerekir. Azure Uygulaması Hizmeti'nde TLS/SSL bağlaması ile özel bir DNS adının güvenliğini sağlama bölümünde yer alan adımları izleyin.
Ortak sertifikayı karşıya yükleme
Ortak sertifikalar .cer biçiminde desteklenir.
Not
Bir genel sertifikayı bir uygulamaya yükledikten sonra, yalnızca karşıya yüklendiği uygulama tarafından erişilebilir. Genel sertifikalar, erişim gerektiren her bir web uygulamasına yüklenmelidir. Belirli App Service Ortamı senaryo için sertifikaların belgelerine ve App Service Ortamı
App Service Planı başına en fazla 1000 genel sertifika yükleyebilirsiniz.
Azure portalında, soldaki menüden App Services<>uygulama adı'nı> seçin.
Uygulamanızın gezinti menüsünde Sertifikalar>Ortak anahtar sertifikaları (.cer)Sertifika ekle'yi> seçin.
.cer sertifikasını karşıya yüklemenize yardımcı olmak için aşağıdaki tabloyu kullanın:
Ayar Açıklama CER sertifika dosyası .cer dosyanızı seçin. Sertifika kolay adı Web uygulamanızda gösterilecek sertifika adı. İşiniz bittiğinde Ekle'yi seçin.
Sertifika karşıya yüklendikten sonra sertifika parmak izini kopyalayın ve sertifikayı erişilebilir hale getirme'yi gözden geçirin.
Süresi dolan sertifikayı yenileme
Sertifikanın süresi dolmadan önce, yenilenen sertifikayı App Service'e eklediğinizden ve işlemin sertifika türüne bağlı olduğu tüm sertifika bağlamalarını güncelleştirdiğinden emin olun. Örneğin, App Service sertifikası da dahil olmak üzere Key Vault'tan içeri aktarılan bir sertifika 24 saatte bir App Service ile otomatik olarak eşitlenir ve sertifikayı yenilediğinizde TLS/SSL bağlamasını güncelleştirir. Karşıya yüklenen bir sertifika için otomatik bağlama güncelleştirmesi yoktur. Senaryonuza göre ilgili bölümü gözden geçirin:
- Karşıya yüklenen sertifikayı yenileme
- App Service sertifikalarını yenileme
- Key Vault'tan içeri aktarılan bir sertifikayı yenileme
Karşıya yüklenen sertifikayı yenileme
Süresi dolan bir sertifikayı değiştirdiğinizde, sertifika bağlamasını yeni sertifikayla güncelleştirme şekliniz kullanıcı deneyimini olumsuz etkileyebilir. Örneğin, bir bağlamayı sildiğinizde, bu bağlama IP tabanlı olsa bile gelen IP adresiniz değişebilir. Bu sonuç özellikle ZATEN IP tabanlı bağlamada olan bir sertifikayı yenilediğinizde etkili olur. Uygulamanızın IP adresinde değişiklik olmasını önlemek ve HTTPS hataları nedeniyle uygulamanızın kapalı kalma süresini önlemek için belirtilen sırada şu adımları izleyin:
Yeni sertifikayı karşıya yükleyin.
Uygulamanızın Özel etki alanları sayfasına gidin, ... eylemleri düğmesini seçin ve Bağlamayı güncelleştir'i seçin.
Yeni sertifikayı seçin ve Güncelleştir'i seçin.
Var olan sertifikayı silin.
Key Vault'tan içeri aktarılan bir sertifikayı yenileme
Not
App Service sertifikasını yenilemek için bkz . App Service sertifikasını yenileme.
Key Vault'tan App Service'e aktardığınız bir sertifikayı yenilemek için Azure Key Vault sertifikanızı yenileme'yi gözden geçirin.
Sertifika anahtar kasanızda yenilendikten sonra App Service yeni sertifikayı otomatik olarak eşitler ve 24 saat içinde geçerli tüm sertifika bağlamalarını güncelleştirir. El ile eşitlemek için şu adımları izleyin:
Uygulamanızın Sertifika sayfasına gidin.
Kendi sertifikalarınızı getirin (.pfx) altında, içeri aktarılan anahtar kasası sertifikasının ... ayrıntılar düğmesini ve ardından Eşitle'yi seçin.
Sık sorulan sorular
- Bir uygulamaya kendi sertifikanızı getirin sertifikasını eklemeyi nasıl otomatikleştirebilirim?
- App Service sertifikaları için sık sorulan sorular
Bir uygulamaya kendi sertifikanızı getirin sertifikasını eklemeyi nasıl otomatikleştirebilirim?
- Azure CLI: Bir web uygulamasına özel TLS/SSL sertifikası bağlama
- Azure PowerShell PowerShell kullanarak bir web uygulamasına özel TLS/SSL sertifikası bağlama
Uygulamamda özel CA sertifikası yapılandırabilir miyim?
App Service'te, App Service'in çok kiracılı değişken sürümünde değiştiremeyeceğiniz Güvenilen Kök Sertifikaların listesi vardır, ancak App Service'te tek kiracılı bir ortam olan bir App Service Ortamı (ASE) içinde Güvenilen Kök Deposu'na kendi CA sertifikanızı yükleyebilirsiniz. (Ücretsiz, Temel, Standart ve Premium App Service Planlarının tümü çok kiracılı ve Yalıtılmış Planlar tek kiracılıdır.)