//DevTalk :App Service - SSL 設定の見直し

2018年8月23日 に投稿済み

このブログ記事は、Microsoft のシニア ソフトウェア エンジニアである Chibi Vikramathithan が執筆しました。

App Service の SSL 設定エクスペリエンスは、App Service で最もよく使用される機能の 1 つです。カスタマー フィードバックに基づき、Azure App Service での証明書の管理に関する全般的なエクスペリエンスへの対応と向上のため、UX に次の変更を加えています。

タブ

新しい SSL 設定では、機能が 3 つのタブに分けられています。 つまり、SSL バインド、プライベート証明書 (.pfx)、公開証明書 (.cer) です。[バインド] タブでは、プロトコル設定を構成し、SSL バインドを追加/編集/削除することができます。[プライベート証明書] タブでは、SSL バインドで使用されるプライベート証明書 (.pfx) をアップロードおよび管理できます。[公開証明書] タブでは、公開証明書 (.cer) をアップロードおよび管理することができます。また、お客様が各機能に使用する必要がある証明書の種類についても説明します。

SSL バインドの編集

SSL 設定には既存の SSL バインドを更新する方法がなく、編集する機能はありましたが、残念ながら [バインディングの追加] フローの下に隠れていました。少し前に編集する機能を有効にした後、機能をさらに磨き、行をクリックして任意のバインドを自由に編集できるようになりました。IP ベースの SSL バインドの拇印を変更しても IP は失われませんが、IP ベースの SSL から SNI に変更して元に戻すと、IP が失われます。バインドを削除してから追加し直すのではなく、証明書を変更する機能は、これまではバインドが問題でしたが、このリリースで解決されました。SSL バインドの詳細については、こちらを参照してください。

プライベート証明書の詳細

App Service で使用されるプライベート証明書は、証明書がアップロードされたとき、App Service 証明書からインポートされたとき、または KeyVault からインポートされたときに、既に収集した情報を表示するために改訂が必要でした。何百ものプライベート証明書がアプリに構成されていて、証明書の参照にも苦労する場合に、改訂によってアップロードおよびインポートした証明書の詳細を取得できるようになる、ということが主な理由です。正常、警告、および期限切れという考えられる 3 つの状態を示す新しい状態列をグリッドに追加しました。警告は、今後 60 日以内に有効期限が切れることを示します。また、プライベート証明書を追加するには、.pfx ファイルをアップロードする必要があることも明確にします。

また、KeyVault の詳細と、App Service 証明書からインポートされた証明書のように KeyVault から取得された証明書の同期状態も表示されます。

証明書のアップロード

証明書のアップロード エクスペリエンスは、プライベート証明書が .pfx ファイルのみを受け入れ、App Service にプライベート証明書を追加するには有効な pfx が必要であることを示すという点で全体的に一貫性を向上しました。別のフィードバックに対応するために、両方のアップロード パスを表示することを止めました。.cer ファイルと .pfx ファイルのどちらをアップロードするかという混乱を避けるために、プライベート証明書から証明書をアップロードするときに、プライベート証明書のみをアップロードできる UX が開くようになりました。[公開証明書] タブから [証明書のアップロード] フローを開くと、[公開証明書] オプションのみが表示されます。

証明書のアップロード UX と基礎となる実装方法を更新し、証明書をアップロードするときに、アップロード ブレードから離れることなくエラーが表示されるようにしました。

公開証明書

公開証明書はアプリでのみ使用できます。SSL バインドの作成には使用できません。これをもっと理にかなった場所に移行する方法に取り組んでいます。現在のところ、SSL 設定は、公開証明書がある場所に配置されます。プライベート証明書は、その機能を有効にするアプリ設定が必要です (非常に古いのですが信頼できるこちらのブログを参照してください)。また、公開証明書では、実行時に (.cer) ファイルをアップロードして取得できるようになり、その機能に別の側面が追加されました。

最後までお読みいただき、ありがとうございました。このブログを執筆する理由は、App Service を日々ご利用いただいているお客様向けに、証明書管理の全体的なエクスペリエンスを向上するために加えた変更を紹介するためです。皆様のご意見とご提案をお待ちしております。

遠慮なく機能のリクエストや問題についてお問い合わせください。