Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Från och med den 28 juli 2025 påverkar ändringar av App Service Managed Certificates (ASMC) hur certifikat utfärdas och förnyas i vissa scenarier. Även om de flesta kunder inte behöver vidta åtgärder rekommenderar vi att du läser vårt asmc-detaljerade blogginlägg för mer information.
Den här artikeln visar hur du skapar ett Azure App Service-certifikat och utför hanteringsuppgifter som att förnya, synkronisera och ta bort certifikat. När du har ett App Service-certifikat kan du importera det till en App Service-app. Ett App Service-certifikat är ett privat certifikat som Azure hanterar. Den kombinerar enkelheten i automatiserad certifikathantering och flexibiliteten med förnyelse- och exportalternativ.
Om du köper ett App Service-certifikat från Azure hanterar Azure följande uppgifter:
- Hanterar inköpsprocessen från GoDaddy.
- Utför domänverifiering av certifikatet.
- Underhåller certifikatet i Azure Key Vault.
- Hanterar certifikatförnyelse.
- Synkroniserar certifikatet automatiskt med de importerade kopiorna i App Service-appar.
När du har laddat upp ett certifikat till en app lagras certifikatet i en distributionsenhet som är bunden till App Service-planens kombination av resursgrupp, region och operativsystem. Internt kallas det ett webbutrymme. På så sätt är certifikatet tillgängligt för andra appar i samma resursgrupp och regionkombination. Certifikat som laddats upp eller importerats till App Service delas med apptjänster i samma distributionsenhet.
Förutsättningar
- Skapa en App Service-app. Appens App Service-plan måste vara på nivån Basic, Standard, Premium eller Isolerad. Information om hur du uppdaterar nivån finns i Skala upp en app.
App Service-certifikat stöds för närvarande inte i nationella Azure-moln.
Köpa och konfigurera ett App Service-certifikat
Köp certifikatet
Gå till sidan Skapa App Service-certifikat för att starta köpet.
Kommentar
GoDaddy utfärdar App Service-certifikat som köpts från Azure. För vissa domäner måste du uttryckligen tillåta GoDaddy som certifikatutfärdare genom att skapa en domänpost för certifikatutfärdarens auktorisering med värdet
0 issue godaddy.com.
Använd följande tabell för att konfigurera certifikatet. När du är klar väljer du Granska + Skapa och sedan Skapa.
Inställning beskrivning Abonnemang Azure-prenumerationen som ska associeras med certifikatet. Resursgrupp Den resursgrupp som innehåller certifikatet. Du kan antingen skapa en ny resursgrupp eller välja samma resursgrupp som din App Service-app. SKU Avgör vilken typ av certifikat som ska skapas, antingen ett standardcertifikat eller ett jokerteckencertifikat. Värdnamn för naken domän Ange rotdomänen. Det utfärdade certifikatet ger säkerhet för både rotdomänen och underdomänen www. I det utfärdade certifikatet anger fältet Eget namn rotdomänen. Fältet Alternativt namn för certifikatmottagaren anger domänenwww. Om du bara vill ge säkerhet för en underdomän anger du det fullständigt kvalificerade domännamnet för underdomänen,mysubdomain.contoso.comtill exempel .Certifikatnamn Det vänliga namnet för ditt App Service-certifikat. Aktivera automatisk förnyelse Välj om certifikatet ska förnyas automatiskt innan det upphör att gälla. Varje förnyelse förlänger certifikatets giltighetstid med ett år. Kostnaden debiteras för din prenumeration. När distributionen är klar väljer du Gå till resurs.
Lagra certifikatet i Azure Key Vault
Key Vault är en Azure-tjänst som hjälper till att skydda kryptografiska nycklar och hemligheter som används av molnprogram och tjänster. För App Service-certifikat rekommenderar vi att du använder Key Vault. När du har slutfört certifikatinköpsprocessen måste du slutföra några fler steg innan du börjar använda certifikatet.
På sidan App Service-certifikat väljer du certifikatet. I certifikatfönstret väljer du Certifikatkonfiguration>steg 1: Lagra.
På sidan Nyckelvalvstatus väljer du alternativet Välj från Nyckelvalv.
Om du skapar ett nytt valv konfigurerar du valvet baserat på följande tabell. Se till att använda samma prenumeration och resursgrupp som din App Service-app.
Inställning beskrivning Resursgrupp Rekommenderas: Samma resursgrupp som ditt App Service-certifikat. Namn på nyckelvalv Ett unikt namn som endast använder alfanumeriska tecken och bindestreck. Region Samma plats som din App Service-app. Prisnivå Mer information finns i Prisinformation för Azure Key Vault. Dagar att behålla borttagna arkiv Antalet dagar efter borttagningen som objekten fortfarande kan återställas. (Se Översikt över mjuk borttagning av Azure Key Vault.) Ange ett värde mellan 7 och 90. Rensa skydd Om du aktiverar det här alternativet måste alla borttagna objekt förbli i mjukt borttaget tillstånd under hela kvarhållningsperioden. Välj Nästa och sedan Användningsprincip för valv. För närvarande stöder App Service-certifikat endast Åtkomstprinciper för Key Vault, inte den rollbaserade åtkomstkontrollmodellen.
Välj Granska + skapa och välj sedan Skapa.
** Välj inte Gå till resurs när nyckelvalvet har skapats. Vänta tills sidan Välj nyckelvalv från Azure Key Vault har laddats om.
Välj Välj.
När du har valt valvet stänger du sidan Key Vault-lagringsplats . Alternativet Steg 1: Store bör visa en grön bockmarkering för att indikera att den har lyckats. Håll sidan öppen för nästa steg.
Bekräfta domänägarskap
På samma sida för certifikatkonfiguration som i föregående avsnitt väljer du Steg 2: Verifiera.
Välj App Service-verifiering. Eftersom du mappade domänen till webbappen tidigare i det här avsnittet är domänen redan verifierad. Slutför det här steget genom att välja Verifiera och sedan Uppdatera tills meddelandet Certifikat är Domänverifierat visas.
Följande metoder för domänverifiering stöds:
| Metod | beskrivning |
|---|---|
| Verifiering av App Service | Det mest praktiska alternativet när domänen redan är mappad till en App Service-app i samma prenumeration eftersom App Service-appen verifierade domänägarskapet. Granska det sista steget i Bekräfta domänägarskap. |
| Domänverifiering | Bekräfta en App Service-domän som du har köpt från Azure. Azure lägger automatiskt till verifierings-TXT-posten åt dig och slutför processen. |
| E-postverifiering | Bekräfta domänen genom att skicka ett e-postmeddelande till domänadministratören. Instruktioner ges när du väljer alternativet. |
| Manuell verifiering | Bekräfta domänen med hjälp av antingen en TXT-post i Domain Name System (DNS) eller en HTML-sida. (Det senare gäller endast standardcertifikat. Se följande kommentar.) Stegen anges när du har valt alternativet. HTML-sidalternativet fungerar inte för webbappar med ENDAST HTTPS aktiverat. För domänverifiering via DNS TXT-post för antingen rotdomänen (till exempel contoso.com) eller underdomänen (till exempel www.contoso.com eller test.api.contoso.com) och oavsett certifikat-SKU:n måste du lägga till en TXT-post på rotdomännivå. Använd @ för namnet och domänverifieringstoken för värdet i DNS-posten. |
Viktigt!
Med standardcertifikatet får du ett certifikat för den begärda toppnivådomänen och underdomänen www , contoso.com till exempel och www.contoso.com. Både App Service-verifiering och manuell verifiering använder HTML-sidverifiering, vilket inte stöder underdomänen www när du utfärdar, nyckelar om eller förnyar ett certifikat. För standardcertifikatet använder du domänverifiering och e-postverifiering för att inkludera underdomänen www med den begärda toppnivådomänen i certifikatet.
När certifikatet har domänverifierats kan du importera det till en App Service-app.
Förnya ett App Service-certifikat
Som standard har App Service-certifikat en giltighetstid på ett år. Innan förfallodatumet kan du automatiskt eller manuellt förnya App Service-certifikat i steg om ett år. Förnyelseprocessen ger dig ett nytt App Service-certifikat med förfallodatumet utökat till ett år från det befintliga certifikatets förfallodatum.
Från och med den 23 september 2021, om du inte har verifierat domänen under de senaste 395 dagarna, kräver App Service-certifikat domänverifiering under en förnyelse-, autorenewal- eller nyckelprocess. Den nya certifikatordningen förblir i läget Väntande utfärdande under förnyelse-, autoförnyelse- eller omnycklingsprocessen tills du har slutfört domänverifieringen.
Till skillnad från det kostnadsfria App Service-hanterade certifikatet har köpta App Service-certifikat inte automatisk domänåterställning. Det gick inte att verifiera domänägarskapet, vilket resulterar i misslyckade förnyelser. Mer information om hur du verifierar ditt App Service-certifikat finns i Bekräfta domänägarskap.
Förnyelseprocessen kräver att serviceprincipalen för App Service har de nödvändiga behörigheterna för ditt nyckelvalv. Dessa behörigheter konfigureras åt dig när du importerar ett App Service-certifikat via Azure Portal. Se till att du inte tar bort dessa behörigheter från nyckelvalvet.
Om du vill ändra inställningen för automatisk förnyelse för ditt App Service-certifikat när som helst väljer du certifikatet på sidan App Service-certifikat.
I den vänstra rutan väljer du Förnya inställningar automatiskt.
Välj På eller Av och välj sedan Spara.
Om du aktiverar automatisk förnyelse kan certifikaten börja förnyas automatiskt 32 dagar innan de upphör att gälla.
Om du vill förnya certifikatet manuellt i stället väljer du Manuell förnyelse. Du kan begära att förnya certifikatet manuellt 60 dagar innan det upphör att gälla, men certifikat kan inte utfärdas längre än 397 dagar.
När förnyelseåtgärden är klar väljer du Synkronisera.
Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.
Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.
Ange ny nyckel för ett App Service-certifikat
Om du tror att certifikatets privata nyckel har komprometterats kan du uppdatera certifikatet. Den här åtgärden roterar certifikatet med ett nytt certifikat utfärdat från certifikatutfärdare.
Från och med den 23 september 2021, om du inte har verifierat domänen under de senaste 395 dagarna, kräver App Service-certifikat domänverifiering under en förnyelse-, autorenewal- eller nyckelprocess. Den nya certifikatordningen förblir i läget Väntande utfärdande under förnyelse-, autoförnyelse- eller omnycklingsprocessen tills du har slutfört domänverifieringen.
Till skillnad från det kostnadsfria App Service-hanterade certifikatet har köpta App Service-certifikat inte automatisk domänåterställning. Det gick inte att verifiera domänägarskapet, vilket resulterar i misslyckade förnyelser. Mer information om hur du verifierar ditt App Service-certifikat finns i Bekräfta domänägarskap.
Omnycklingsprocessen kräver att tjänstens huvudkonto för App Service har de behörigheter som krävs för ditt nyckelvalv. Dessa behörigheter konfigureras åt dig när du importerar ett App Service-certifikat via Azure Portal. Se till att du inte tar bort dessa behörigheter från nyckelvalvet.
På sidan App Service-certifikat väljer du certifikatet. I den vänstra rutan väljer du Byt nyckel och synkronisera.
Starta processen genom att välja Nyckel igen. Den här processen kan ta 1 till 10 minuter att slutföra.
Du kan också behöva bekräfta domänägarskapet igen.
När nyckelåtgärden har slutförts väljer du Synkronisera.
Synkroniseringsåtgärden uppdaterar automatiskt värdnamnsbindningarna för certifikatet i App Service utan att orsaka driftstopp för dina appar.
Om du inte väljer Synkronisera synkroniserar App Service automatiskt ditt certifikat inom 24 timmar.
Exportera ett App Service-certifikat
Eftersom ett App Service-certifikat är en Key Vault-hemlighet kan du exportera en kopia som en .pfx-fil som du kan använda för andra Azure-tjänster eller utanför Azure.
Det exporterade certifikatet är en ohanterad artefakt. App Service synkroniserar inte sådana artefakter när App Service-certifikatet förnyas. Du måste exportera och installera det förnyade certifikatet vid behov.
Den nedladdade .pfx-filen är en rå PKCS12-fil som innehåller både offentliga och privata certifikat och har ett importlösenord som är en tom sträng. Du kan installera filen lokalt genom att lämna lösenordsfältet tomt. Du kan inte ladda upp filen som den är i App Service eftersom filen inte är lösenordsskyddad.
Använda Azure Advisor för App Service-certifikat
Ett App Service-certifikat är integrerat med Azure Advisor för att ge tillförlitlighetsrekommendationer för när certifikatet kräver domänverifiering. Om du inte har verifierat domänen under de senaste 395 dagarna måste du verifiera domänägarskapet för certifikatet under förnyelse-, autorenewal- eller nyckelprocessen. Om du vill se till att du inte missar något certifikat som kräver verifiering eller riskerar att något certifikat upphör att gälla använder du Advisor för att visa och konfigurera aviseringar för App Service-certifikatet.
Visa Advisor-rekommendationer
Så här visar du Advisor-rekommendationer för App Service-certifikatet:
Gå till sidan Azure Advisor.
I den vänstra rutan väljer du Rekommendationers>tillförlitlighet.
Välj filteralternativet Typ är lika med och sök efter App Service-certifikat i listrutan. Om värdet inte finns i listrutan innebär det att ingen rekommendation genererades för dina App Service-certifikatresurser eftersom ingen av dem kräver verifiering av domänägarskap.
Skapa Advisor-aviseringar
Du skapar Advisor-aviseringar om nya rekommendationer med hjälp av olika konfigurationer. Konfigurera Advisor-aviseringar specifikt för ett App Service-certifikat så att du kan få meddelanden när certifikatet kräver verifiering av domänägarskap:
Gå till sidan Azure Advisor.
På den vänstra rutan, välj Övervakning>Aviseringar (Förhandsversion).
Välj + Ny Advisor-avisering i fältet högst upp för att öppna fönstret Skapa Advisor-aviseringar .
Under Villkor väljer du följande alternativ:
Konfigureras av Rekommendationstyp Rekommendationstyp Domänverifiering krävs för att utfärda ditt App Service-certifikat. Fyll i resten av de obligatoriska fälten och välj sedan Skapa avisering.
Ta bort ett App Service-certifikat
Om du tar bort ett App Service-certifikat är borttagningsåtgärden oåterkallelig och slutgiltig. Resultatet är ett återkallat certifikat. Alla bindningar i App Service som använder certifikatet blir ogiltiga.
I den vänstra rutan väljer du Översikt>Ta bort.
När bekräftelserutan öppnas anger du certifikatnamnet och väljer sedan OK.
Vanliga frågor och svar
Varför har inte mitt App Service-certifikat ett värde i Key Vault?
Ditt App Service-certifikat är förmodligen inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas. Som en nyckelvalvshemlighet behåller den en Initialize tagg och dess värde och innehållstyp förblir tom. När domänägarskapet bekräftas visar nyckelvalvshemligheten ett värde och en innehållstyp och taggen ändras till Ready.
Varför kan jag inte exportera mitt App Service-certifikat med PowerShell?
Ditt App Service-certifikat är förmodligen inte domänverifierat ännu. Innan domänägarskapet har bekräftats är ditt App Service-certifikat inte redo att användas.
Vilka ändringar gör processen för att skapa App Service-certifikat i mitt befintliga nyckelvalv?
Skapandeprocessen gör följande ändringar:
- Lägger till två åtkomstprinciper i valvet:
-
Microsoft Azure App Service (eller
Microsoft.Azure.WebSites) -
Resursleverantör för Microsoft-certifikatåterförsäljare CSM (eller
Microsoft.Azure.CertificateRegistration)
-
Microsoft Azure App Service (eller
- Skapar ett borttagningslås som anropas
AppServiceCertificateLocki valvet för att förhindra oavsiktlig borttagning av nyckelvalvet.