在 Azure 应用服务中添加和管理 TLS/SSL 证书

可以添加数字安全证书，以在应用程序代码中使用或在 Azure 应用服务 中帮助保护自定义 DNS 名称，该证书提供了高度可缩放、自我修补的 Web 托管服务。 目前称为传输层安全性 (TLS) 证书，以前也称为安全套接字层 (SSL) 证书，这些专用或公用证书通过加密浏览器、访问的网站和网站服务器之间发送的数据来帮助保护 Internet 连接。

下表列出了可用于在应用服务中添加证书的选项：

• 创建应用服务应用。 应用的应用服务计划必须位于“基本”、“标准”、“高级”或“独立”层。 请参阅纵向扩展应用以更新层级。

• 对于专用证书，请确保它满足所有的应用服务要求。

• 仅适用于免费证书：

  • 请将需要证书的域映射到应用服务。 如需相关信息，请参阅教程：将现有的自定义 DNS 名称映射到 Azure 应用服务。

  • 对于根域（如 contoso.com），请确保应用未配置任何 IP 限制。 为根域创建证书以及定期续订该证书都依赖于可从 Internet 访问的应用。

如果选择将私有证书上传或导入到应用服务，则证书必须满足以下要求：

• 导出为受密码保护的 PFX 文件（使用三重 DES 进行加密）
• 包含长度至少为 2048 位的私钥
• 包含证书链中的所有中间证书和根证书

如果要帮助保护 TLS 绑定中的自定义域，证书还必须满足以下额外要求：

• 包含用于服务器身份验证的扩展密钥用法 (OID = 1.3.6.1.5.5.7.3.1)
• 已由受信任的证书颁发机构签名

如果使用 Azure Key Vault 管理证书，则可以在满足要求的情况下将 PKCS12 证书从 Key Vault 导入应用服务。

默认情况下，应用服务资源提供程序无权访问密钥保管库。 若要将密钥保管库用于证书部署，必须授权资源提供程序（应用服务）对密钥保管库的读取访问权限。 可以使用访问策略或 RBAC 授予访问权限。

1. 在 Azure 门户的左侧菜单中，选择应用服务><app-name>。

2. 从应用的导航菜单中，请选择“证书”>“自带证书(.pfx)”>“添加证书”。

3. 在“源”中，选择“从密钥保管库导入”。

4. 选择“选择密钥保管库证书”。

   

5. 若要帮助选择证书，请使用下表：

   展开表

   设置	说明
   订阅	与密钥保管库关联的订阅。
   密钥保管库	具有要导入的证书的密钥保管库。
   证书	请从列表中选择在保管库中的 PKCS12 证书。 保管库中的所有 PKCS12 证书都已通过其指纹列出，但在应用服务中并非支持所有证书。

6. 完成选择后，依次选择“选择”、“验证”和“添加”。

   操作完成后，证书会显示在“自带证书”列表中。 如果导入失败并出现错误，则证书不满足应用服务的要求。

   

   备注

   如果使用新证书更新 Key Vault 中的证书，应用服务会在 24 小时内自动同步证书。

7. 为了帮助使用此证书保护自定义域，仍需创建证书绑定。 在 Azure 应用服务中使用 TLS/SSL 绑定保护自定义 DNS 名称。

从证书提供程序处获取证书后，请按照本部分中的步骤为应用服务准备好证书。

如果证书颁发机构在证书链中提供了多个证书，则必须按相同的顺序合并证书。

1. 在文本编辑器中，打开收到的所有证书。

2. 若要存储合并证书，请创建一个名为 mergedcertificate.crt 的文件。

3. 将每个证书的内容复制到此文件中。 请确保遵循证书链指定的证书顺序，从你的证书开始，到根证书结束，例如：

   -----BEGIN CERTIFICATE-----
   <your entire Base64 encoded SSL certificate>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 1>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 2>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded root certificate>
   -----END CERTIFICATE-----
   

现在，使用用于生成证书请求的私钥导出合并的 TLS/SSL 证书。 如果使用 OpenSSL 生成证书请求，则已创建私钥文件。

1. 若要将证书导出为 PFX 文件，请运行以下命令，但将占位符 <private-key-file> 和 merged-certificate-file< 分别替换为私钥和合并证书文件的路径。

   openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
   

2. 出现提示时，请指定导出操作的密码。 稍后将 TLS/SSL 证书上传到应用服务时，必须提供此密码。

3. 如果使用 IIS 或 Certreq.exe 生成证书请求，请将证书安装到本地计算机，然后将证书导出为 PFX 文件。

现在可以将证书上传到应用服务了。

1. 在 Azure 门户的左侧菜单中，选择应用服务><app-name>。

2. 从应用的导航菜单中，请选择“证书”>“自带证书(.pfx)”>“上传证书”。

   

3. 若要帮助上传 .pfx 证书，请使用下表：

   展开表

   设置	说明
   PFX 证书文件	选择 .pfx 文件。
   证书密码	输入导出 PFX 文件时创建的密码。
   证书易记名称	将在 Web 应用中显示的证书名称。

4. 完成选择后，依次选择“选择”、“验证”和“添加”。

   操作完成后，证书会显示在“自带证书”列表中。

   

5. 若要使用此证书为自定义域提供安全性，仍需要创建证书绑定。 在 Azure 应用服务中使用 TLS/SSL 绑定保护自定义 DNS 名称。

支持使用 .cer 格式的公共证书。

1. 在 Azure 门户的左侧菜单中，选择应用服务><app-name>。

2. 从应用的导航菜单中，选择“证书”>“公钥证书(.cer)”>“添加证书”。

3. 若要帮助上传 .cer 证书，请使用下表：

   展开表

   设置	说明
   CER 证书文件	选择你的 .cer 文件。
   证书易记名称	将在 Web 应用中显示的证书名称。

4. 完成后，选择“添加”。

   

5. 上传证书后，复制证书指纹，然后查看使证书可访问。

在证书到期之前，请确保将续订的证书添加到应用服务，并更新进程依赖于证书类型的任何证书绑定。 例如，从 Key Vault 导入的证书（包括应用服务证书）每 24 小时自动同步到应用服务，并在你续订证书时更新 TLS/SSL 绑定。 对于上传的证书，没有自动绑定更新。 根据你的方案，查看相应的部分：

• 续订上传的证书
• 续订从 Key Vault 导入的证书

替换过期证书时，使用新证书更新证书绑定的方式可能会对用户体验产生不利影响。 例如，在删除某个绑定时，即使该绑定是基于 IP 的，入站 IP 地址也可能会更改。 在续订已进行基于 IP 的绑定的证书时，此结果尤其有影响。 若要避免应用的 IP 地址发生更改以及由于 HTTPS 错误而导致应用停机，请按指定顺序执行以下步骤：

1. 上传新证书。

2. 转到应用的“自定义域”页，选择“...”按钮，然后选择“更新绑定”。

3. 选择新证书，然后选择“更新”。

4. 删除现有证书。

若要续订从 Key Vault 导入应用服务的证书，请参阅续订 Azure Key Vault 证书。

在密钥保管库中续订证书后，应用服务会自动同步新证书并在 24 小时内更新任何适用的证书绑定。 若要手动同步，请执行以下步骤：

1. 转到应用的“证书”页。

2. 在“自带证书(.pfx)”下，为导入的密钥保管库证书选择“...”按钮，然后选择“同步”。

• Azure CLI：将自定义 TLS/SSL 证书绑定到 Web 应用
• Azure PowerShell：使用 PowerShell 将自定义 TLS/SSL 证书绑定到 Web 应用

可以在应用服务环境版本 3 中对入站 TLS 使用专用 CA 证书。 这在应用服务（多租户）中是不可能的。

• 在 Azure 应用服务中使用 TLS/SSL 绑定保护自定义 DNS 名称
• 实施 HTTPS
• 实施 TLS 1.1/1.2
• 在 Azure 应用服务中通过代码使用 TLS/SSL 证书
• 常见问题解答：应用服务证书