Запрос ssl сертификата: Что такое CSR? Сгенерировать CSR запрос SSL

• 03/24/2020
• Чтение занимает 5 мин

В этой статье

В этой статье описано, как включить протокол SSL для всех клиентов, взаимодействующих с вашим веб-сайтом в службах Microsoft Internet Information Services (IIS).

Исходная версия продукта:   Службы IIS
Исходный номер статьи базы знаний:   298805

Сводка

В этой статье рассматриваются следующие темы:

• Как настроить и включить сертификаты сервера, чтобы клиенты могли быть уверены, что ваш веб-сайт действителен, а любая информация, которую они отправляют, остается конфиденциальной и конфиденциальной.
• Использование сторонних сертификатов для поддержки протокола SSL (Secure Sockets Layer), а также общий обзор процесса, используемого для создания запроса подписи сертификата (CSR), который используется для получения сертификата стороннего производителя.
• Включение подключения SSL для веб-сайта.
• Использование протокола SSL для всех подключений и настройка требуемой длины шифрования между клиентами и веб-сайтом.

Вы можете использовать функции безопасности SSL веб-сервера для двух типов проверки подлинности. Вы можете использовать сертификат сервера , чтобы разрешить пользователям выполнять проверку подлинности веб-сайта, прежде чем передавать персональные данные, например номер кредитной карты. Кроме того, вы можете использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию на веб-сайте.

В этой статье предполагается, что для проверки подлинности на веб-сервере будет использоваться сторонний центр сертификации (CA).

Чтобы включить проверку сертификата сервера SSL и обеспечить уровень безопасности, требуемый клиентам, необходимо получить сертификат из стороннего центра сертификации. Сертификаты, выданные вашей организации сторонним центром сертификации, обычно привязаны к веб-серверу, а именно к веб-сайту, на котором вы хотите присоединить SSL. Вы можете создать свой собственный сертификат на сервере IIS, но если это сделать, клиенты должны явно доверять вас как центру сертификации.

Статья предполагает следующее:

• Установлены службы IIS.
• Вы создали и опубликовали веб-сайт, который вы хотите защитить с помощью протокола SSL.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоли управления IIS; Поэтому необходимо установить службы IIS, прежде чем можно будет создать CSR. Представитель по обслуживанию клиентов по сути является сертификатом, который создается на сервере, который проверяет сведения о сервере при запросе сертификата из стороннего центра сертификации. Представитель по обслуживанию клиентов — это просто зашифрованное текстовое сообщение, которое шифруется с помощью открытого и закрытого ключа.

Как правило, следующие сведения о компьютере включены в создаваемый представитель по обслуживанию клиентов:

• Организация
• Подразделение
• Страна
• State
• Расположение
• Общее имя

Примечание

Обычно общее имя состоит из имени ведущего компьютера и домена, к которому он относится, например XYZ.com. В этом случае компьютер является частью com-домена и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.

Создание CSR

1. Доступ к консоли управления IIS (MMC). Для этого щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Управление. Откроется консоль управления компьютером. Разверните раздел службы и приложение . Откройте консоль IIS и разверните консоль IIS.

2. Выберите конкретный веб-сайт, на котором необходимо установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите пункт Свойства.

3. Перейдите на вкладку Безопасность каталога . В разделе безопасная связь выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.

4. Выберите создать новый сертификат и нажмите кнопку Далее.

5. Выберите подготовить запрос сейчас, чтобы отправить его позже, а затем нажмите кнопку Далее.

6. В поле имя введите имя, которое вы можете запомнить. По умолчанию будет задано имя веб-сайта, для которого создается представитель по обслуживанию клиентов.

   Примечание

   При создании CSR необходимо указать длину в битах. Длина ключа шифрования определяет стойкость зашифрованного сертификата, отправляемого в сторонний центр сертификации. Чем выше длина, тем сильнее шифрование. Большинство сторонних центров сертификации предпочитают не менее 1024 бит.

7. В разделе сведения об организации введите сведения об организации и подразделении. Это должно быть точным, так как вы представляете эти учетные данные для стороннего центра сертификации, и вам необходимо соблюдать условия их лицензирования. Нажмите кнопку Далее , чтобы открыть раздел Общее имя вашего сайта .

8. Раздел » Общее имя» сайта отвечает за привязку сертификата к веб-сайту. В разделе SSL-сертификаты введите имя главного компьютера с именем домена. Для серверов интрасети вы можете использовать NetBIOS-имя компьютера, на котором размещается сайт. Нажмите кнопку Далее , чтобы получить доступ к сведениям о местоположении.

9. Введите сведения о стране, штате, крае и стране или регионе. Полностью произношение штата, Республики и страны или региона; не используйте аббревиатуры. Нажмите кнопку Далее.

10. Сохраните файл в формате txt.

11. Подтвердите сведения о запросе. Нажмите кнопку Далее , чтобы завершить работу мастера сертификатов веб-сервера.

Запрос сертификата

Существует несколько способов отправки запроса. Обратитесь к поставщику сертификата, чтобы использовать этот метод, и Определите оптимальный уровень сертификата для ваших потребностей. В зависимости от выбранного метода отправки запроса в центр сертификации, вы можете отправить файл CSR из действия 10 в разделе Создание CSR или вставить в запрос содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитулы для содержимого. При запросе сертификата необходимо включить верхний и нижний колонтитулы. Ваш представитель по обслуживанию клиентов должен выглядеть следующим образом:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Установка сертификата

После того как сторонний ЦС закончит запрос на сертификат сервера, вы получите его по электронной почте или на сайте для скачивания. Сертификат должен быть установлен на веб-сайте, на котором вы хотите обеспечить безопасное взаимодействие.

Чтобы установить сертификат, выполните указанные ниже действия.

1. Скачайте или скопируйте сертификат, полученный из центра сертификации на веб-сервер.
2. Откройте консоль управления (MMC) IIS, как описано в разделе Создание отдела CSR .
3. Доступ к диалоговому окну Свойства для веб-сайта, на котором устанавливается сертификат.
4. Перейдите на вкладку Безопасность каталога и выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.
5. Выберите элемент обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.
6. Перейдите к расположению сертификата, сохраненному на шаге 1. Дважды нажмите кнопку Далее , а затем кнопку Готово.

Принудительное применение SSL-подключений

Теперь, когда сертификат сервера установлен, вы можете принудительно применять безопасные каналы SSL для клиентов веб-сервера. Для начала необходимо включить порт 443 для безопасной связи с веб-сайтом. Для этого выполните следующие действия:

1. В консоли «Управление компьютером» щелкните правой кнопкой мыши веб-сайт, на котором нужно включить SSL, и выберите пункт Свойства.
2. Перейдите на вкладку веб-сайт . В разделе Идентификация веб-сайта убедитесь, что в поле Порт SSL указано числовое значение 443.
3. Выберите Дополнительно. Вы должны увидеть два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле удостоверения для этого веб-сайта. В поле несколько удостоверений SSL для этого веб-сайта выберите Добавить , если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле Порт SSL. Нажмите кнопку ОК.

Теперь, когда порт 443 включен, можно применить SSL-подключения. Для этого выполните следующие действия:

1. Перейдите на вкладку Безопасность каталога . В разделе безопасная связь теперь можно изменить . Нажмите кнопку Изменить.

2. Выберите обязательное использование безопасного канала (SSL).

   Примечание

   Если вы укажете 128-разрядное шифрование, клиенты, использующие браузер с 40-разрядной или 56-разрядной версией, не смогут поддерживать обмен данными с сайтом, пока не будут обновлены свои силы шифрования.

3. Откройте браузер и попытайтесь подключиться к веб-серверу с помощью стандартного протокола http:// . При принудительном применении SSL появляется следующее сообщение об ошибке:

   Страница должна просматриваться по безопасному каналу
   Для страницы, которую вы пытаетесь просмотреть, необходимо использовать «HTTPS» в адресе.
   Выполните следующие действия: повторите попытку, введя https://в начале адреса, к которому вы пытаетесь получить доступ. HTTP 403,4-запрещено: требуются службы IIS для протокола SSL
   Техническая информация (для персонала службы поддержки): Эта ошибка указывает на то, что страница, к которой вы пытаетесь получить доступ, защищена с помощью протокола SSL.

Теперь можно подключиться к веб-сайту только с помощью протокола https:// .

Генерация и использование SSL-сертификатов в Linux

В целях безопасности, в частности во избежание перехвата конфиденциальных, персональных или важных данных. Многие владельцы сайтов в сети защищают трафик с помощью SSL-сертификатов. Естественно, защите подлежит только тот трафик, который связан непосредственно с запросами и передачей данных с определённым адресом — адресом сайта. Системные администраторы, сотрудники техподдержки должны ориентироваться в вопросах, касающихся создания и внедрения SSL-сертификатов для хостов. Поскольку предоставляют соответствующие услуги. Для этих целей в системах Linux существует утилита openssl. Она является свободной реализацией методов защиты, протокола SSL, а также генерации сертификатов.

Как SSL-сертификат помогает защитить данные?

На самом деле схема защиты трафика основана на его шифровании открытым ключом и его расшифровке закрытым ключом. Понятие SSL-сертификата применимо в контексте подтверждения того факта, что открытый ключ действительно принадлежит именно тому домену, с которым происходит соединение. Таким образом, в данной схеме присутствуют две составляющие:

• Пара ключей (открытый и закрытый) — для шифрования/расшифровки трафика;
• Подпись открытого ключа. Гарантирующая, что он подлинный и обслуживает именно тот домен, для которого и был создан.

Обе эти составляющие и представляют собой то, что принято обозначать понятием SSL-сертификат. Подпись является гарантией, поскольку выдаётся авторитетным центрами сертификации. Это доступные всем онлайн-сервисы (достаточно воспользоваться любой поисковой системой), которым можно отправить свой ключ, заполнив соответствующую анкету. Далее сервис (центр сертификации) обрабатывает данные из анкеты и сам ключ и высылает уже подписанный ключ обратно его владельцу. Среди самых популярных на сегодняшний день центров сертификации являются такие как Comodo.
Важно заметить, что зашифрованный открытым ключом трафик возможно расшифровать только соответствующим ему закрытым ключом. В свою очередь подпись для открытого ключа от авторитетного цента говорит, что зашифрованный трафик пришёл от «своего» или подлинного узла и его можно принять в обработку, т. е. расшифровать закрытым ключом.

Общий порядок создания SSL-сертификата, ключи и подпись

Во время создания SSL-сертификата происходит последовательная обработка следующих видов ключей:

• *.key – это сами ключи шифрования, открытий и/или закрытый;
• *.csr – ключ, содержащий сформированный запрос для получения подписи сертификата от центра сертификации, а сам запрос — это открытый ключ и информация о домене и организации, связанной с ним;
• *.crt, *.cer, *.pem – это, собственно, сам сертификат, подписанный центром сертификации по запросу из файла *.csr.

Для начала нужно создать закрытый ключ:

$ openssl genrsa -des3 -out server.key 2048

Здесь команда genrsa генерирует RSA-ключ, опция -des3 указывает алгоритм шифрования ключа. А опция -out указывает, что ключ должен быть получен в виде файла server.key. Число 2048 — это сложность шифрования. При выполнении этой команды пользователю будет предложено ввести пароль для шифрования. Поскольку указан его алгоритм опцией -des3. Если это личный ключ и его планируется использовать на сервере, который можно настроить в собственных целях, то естественно шифрование обязательно. Однако, многие серверы требуют закрытые ключи без шифрования (например хостинг-площадки, поскольку предоставляют универсальную услугу по заказу SSL-сертификатов). Поэтому перед генерацией закрытого ключа нужно определиться, как он будет использоваться.

Теперь нужно создать запрос на подпись — CSR-файл, который будет включать только что сгенерированный ключ server.key:

$ openssl req -new -key server.key -out server.csr

При выполнении этой команды пользователю необходимо ввести информацию о домене и организации. Причём наименование домена следует вводить точно, например, если идентификатор URL сайта https://mycompany.com, то ввести нужно mycompany.com. Для URL-идентификатора www.mycompany.com уже необходим отдельный сертификат.
Теперь файл server.csr со сформированным запросом на подпись можно отправить в выбранный центр сертификации.

Подписание SSL-сертификатов

Получить подписанный сертификат, когда имеется закрытый ключ и запрос на подпись можно несколькими способами: воспользоваться услугой авторитетных центров сертификации, отправив им запрос (CSR-файл) и получив в ответ готовый сертификат *.crt. Либо можно сделать сертификат самоподписанным. Т. е. подписать его тем же ключом, который использовался при создании файла CSR. Для этого следует выполнить команду:

$ openssl x509 -signkey server.key -in server.csr -req -days 365 -out server.crt

Здесь опция -days указывает количество дней, в течение которых выпускаемый сертификат server.crt будет действителен. В данном случае на протяжении одного года.
Также можно создать самоподписанный сертификат из имеющегося закрытого ключа без использования CSR-файла. Но в этом случае нужно вводить информацию CSR-запроса:

$ openssl req -key server.key -new -x509 -days 365 -out server.crt

Параметр -x509 задаёт формат генерируемого сертификата. Он является самым распространённым и используется в большинстве случаев. Опция -new позволяет запрашивать информацию для запроса у пользователя.

Важно отметить, что сертификаты, подписанные авторитетными центрами сертификации известны веб-браузерам. Самоподписанные сертификаты необходимо импортировать в хранилище доверенных сертификатов веб-браузера вручную. Поскольку соединения с доменами, обслуживаемыми такими сертификатами по-умолчанию блокируются.

Использование SSL-сертификатов для домена

Для использования сертификата доменом, для которого он был создан, необходимо соответствующим образом настроить виртуальный хост этого домена. Для начала нужно сохранить файлы *.crt и *.key где-нибудь, где доступ к ним может получить только их владелец. Например в ~/ssl/certs/ нужно поместить файл server.crt, в ~/ssl/private/ — файл server.key. Далее, в конфигурационном файле виртуального хоста нужно определить следующие директивы:

SSLCertificateFile /home/john/ssl/certs/server.crt
SSLCertificateKeyFile /home/john/ssl/private/server.key

Важно заметить, что для SSL-соединений домена должен быть отдельный конфигурационный файл (или просто отдельная конфигурация в одном файле) виртуального хоста для него. Это необходимо, поскольку обычные HTTP-соединения обрабатываются по порту 80, а HTTPS (SSL) — по 443. Это отдельные конфигурации одного виртуального хоста (хотя это не совсем верное определение). Также для Apache должен быть включен модуль SSL. Типичная конфигурация может выглядеть следующим образом:

<IfModule mod_ssl.c>
 <VirtualHost 128.138.243.150:443>
    ServerName www.mycompany.com
    ServerAdmin [email protected]
    DocumentRoot /var/www/htdocs/mycompany
    ErrorLog logs/www.mycompany.com-ssl-error_log
    CustomLog logs/www.mycompany.com-ssl-access_log combined
    ScriptAlias /cgi-bin/ /var/www/cgi-bin/mycompany
    SSLEngine on
    SSLCertificateFile /home/john/ssl/certs/server.crt
    SSLCertificateKeyFile /home/john/ssl/private/server.key
 </VirtualHost>
</IfModule>

Как подключить ssl сертификата в nginx читайте в этой статье.

Заключение

В заключение следует заметить, что генерация и подключение SSL-сертификатов к домену — далеко не самая сложная задача. Однако она требует очень внимательного выполнения отдельных её этапов, поскольку от ошибки зависит безопасность для домена.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Что такое CSR (запрос на подпись сертификата)?

Что такое CSR? Запрос CSR или подписи сертификата — это блок закодированного текста, который передается в центр сертификации при подаче заявки на сертификат SSL. Обычно он создается на сервере, на котором будет установлен сертификат, и содержит информацию, которая будет включена в сертификат, такую ​​как название организации, общее имя (доменное имя), местонахождение и страну. Он также содержит открытый ключ, который будет включен в сертификат.Закрытый ключ обычно создается одновременно с созданием CSR, составляя пару ключей. CSR обычно кодируется с использованием ASN.1 в соответствии со спецификацией PKCS # 10.

Центр сертификации будет использовать CSR для создания вашего сертификата SSL, но ему не нужен ваш закрытый ключ. Вам нужно держать свой закрытый ключ в секрете. Сертификат, созданный с помощью определенного CSR, будет работать только с закрытым ключом, который был с его помощью. Поэтому, если вы потеряете закрытый ключ, сертификат больше не будет работать.

Что содержится в CSR?

Как выглядит CSR?

Большинство CSR создаются в формате PEM с кодировкой Base-64.Этот формат включает строки «—— НАЧАЛО ЗАПРОСА СЕРТИФИКАТА ——» и «—— КОНЕЦ ЗАПРОСА СЕРТИФИКАТА ——» в начале и в конце CSR. CSR формата PEM можно открыть в текстовом редакторе и выглядит следующим образом:

----- BEGIN CERTIFICATE REQUEST -----

MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMR8w

HQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQDEw53d3cuZ29v Z2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApZtYJCHJ4VpVXHfV
IlstQTlO4qC03hjX + ZkPyvdYd1Q4 + qbAeTwXmCUKYHThVRd5aXSqlPzyIBwieMZr
WFlRQddZ1IzXAlVRDWwAo60KecqeAXnnUK + 5fXoTI / UgWshre8tJ + X / TMHaQKR / J

cIWPhqaQhsJuzZbvAdGA80BLxdMCAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAIhl 4PvFq + e7ipARgI5ZM + GZx6mpCz44DTo0JkwfRDf + BtrsaC0q68eTf2XhYOsq4fkH
Q0uA0aVog3f5iJxCa3Hp5gxbJQ6zV6kJ0TEsuaaOhEko9sdpCoPOnRBm2i / XRD2D
6iNh8f8z0iCh + 9CY0-B0-B0-B0-B0-B0-B0-B0-B0-0-B0-B-0-B--C.ht-

Как мне сгенерировать CSR и закрытый ключ?

Вам необходимо сгенерировать CSR и закрытый ключ на сервере, на котором будет использоваться сертификат.Вы можете найти инструкции в документации вашего сервера или попробовать инструкции в одном из этих центров сертификации:

Инструкции по созданию Comodo CSR
Инструкции по созданию DigiCert CSR
Инструкции по созданию Entrust CSR
Инструкции по созданию GeoTrust CSR
Инструкции по созданию CSR Thawte

После того, как вы сгенерировали CSR, вы можете использовать наш мастер SSL, чтобы найти лучший сертификат SSL, который будет соответствовать вашим потребностям. Если вы знакомы с OpenSSL, вы можете использовать следующую команду для создания CSR и закрытого ключа:

openssl req -new -newkey rsa: 2048 -nodes -out имя_сервера.csr -keyout имя_сервера.key

Как декодировать CSR?

Вы можете легко декодировать CSR, чтобы увидеть, что в нем содержится, с помощью нашего CSR Decoder. Чтобы декодировать CSR на вашем собственном компьютере с помощью OpenSSL, используйте следующую команду:

openssl req -in server.csr -noout -text

Какова длина в битах CSR / закрытого ключа?

Битовая длина пары CSR и закрытого ключа определяет, насколько легко ключ может быть взломан с использованием методов грубой силы.По состоянию на 2016 год размер ключа менее 2048 бит считается слабым и потенциально может быть взломан в течение нескольких месяцев или меньше при наличии достаточной вычислительной мощности. Если закрытый ключ сломан, все соединения, инициированные с его помощью, будут доступны тому, у кого есть ключ. Руководящие принципы расширенной проверки, которым обязаны следовать поставщики сертификатов SSL, требуют, чтобы все сертификаты EV использовали 2048-битный размер ключа, чтобы обеспечить их безопасность в будущем. Из-за этого большинство провайдеров поощряют 2048-битные ключи для всех сертификатов, независимо от того, являются они EV или нет.

Сравнить сертификаты SSL

Первоначально опубликовано вс, 7 декабря 2008 г.


Добавление сертификатов TLS / SSL и управление ими - Служба приложений Azure

• 25.10.2019
• 17 минут на чтение

В этой статье

Служба приложений Azure предоставляет хорошо масштабируемую службу веб-хостинга с автоматическими исправлениями. В этой статье показано, как создать, загрузить или импортировать частный сертификат или общедоступный сертификат в службу приложений.

После того, как сертификат добавлен в приложение службы приложений или приложение-функцию, вы можете защитить с его помощью настраиваемое DNS-имя или использовать его в коде приложения.

Примечание

Сертификат, загруженный в приложение, хранится в модуле развертывания, который привязан к комбинации группы ресурсов и региона приложения (внутреннее название - веб-пространство ). Это делает сертификат доступным для других приложений в той же комбинации группы ресурсов и региона.

В следующей таблице перечислены параметры, которые у вас есть для добавления сертификатов в службу приложений:

Предварительные требования

Чтобы следовать этому руководству:

Требования к частному сертификату

Примечание

Веб-приложения Azure не поддерживают , а AES256, и все файлы pfx должны быть зашифрованы с помощью TripleDES.

Бесплатный управляемый сертификат службы приложений или сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы решите загрузить или импортировать частный сертификат в службу приложений, ваш сертификат должен соответствовать следующим требованиям:

• Экспортировано как PFX-файл, защищенный паролем
• Содержит закрытый ключ длиной не менее 2048 бит
• Содержит все промежуточные сертификаты в цепочке сертификатов

Для защиты личного домена в привязке TLS к сертификату предъявляются дополнительные требования:

• Содержит расширенное использование ключа для аутентификации сервера (OID = 1.3.6.1.5.5.7.3.1)
• Подписано доверенным центром сертификации

Примечание

Сертификаты Elliptic Curve Cryptography (ECC) могут работать со службой приложений, но не рассматриваются в этой статье. Работайте со своим центром сертификации над точными шагами по созданию сертификатов ECC.

Подготовьте веб-приложение

Для создания настраиваемых привязок TLS / SSL или включения клиентских сертификатов для приложения службы приложений ваш план службы приложений должен быть на уровне Basic , Standard , Premium или Isolated .На этом этапе вы убедитесь, что ваше веб-приложение находится на поддерживаемом ценовом уровне.

Войти в Azure

Откройте портал Azure.

Перейдите в свое веб-приложение

Найдите и выберите App Services .

На странице App Services выберите имя своего веб-приложения.

Вы попали на страницу управления своего веб-приложения.

Проверить ценовой уровень

На левой панели навигации страницы веб-приложения перейдите к разделу Настройки и выберите Увеличение масштаба (план службы приложений) .

Убедитесь, что ваше веб-приложение не относится к уровню F1 или D1 . Текущий уровень вашего веб-приложения выделен темно-синей рамкой.

Custom SSL не поддерживается на уровне F1 или D1 . Если вам нужно увеличить масштаб, выполните действия, описанные в следующем разделе. В противном случае закройте страницу Увеличение масштаба и пропустите раздел «Увеличение масштаба плана службы приложений».

Расширьте план службы приложений

Выберите любой из платных уровней ( B1 , B2 , B3 или любой уровень в категории Production ).Для дополнительных параметров щелкните См. Дополнительные параметры .

Щелкните Применить .

Когда вы увидите следующее уведомление, операция масштабирования завершена.

Создать бесплатный сертификат (предварительная версия)

Бесплатный управляемый сертификат службы приложений - это готовое решение для защиты настраиваемого DNS-имени в службе приложений. Это полнофункциональный сертификат TLS / SSL, управляемый службой приложений и автоматически обновляемый.Бесплатный сертификат имеет следующие ограничения:

• Не поддерживает сертификаты с подстановочными знаками.
• Не поддерживает голые домены.
• Не подлежит экспорту.
• Не поддерживается в среде службы приложений (ASE)
• Не поддерживает записи A. Например, автоматическое продление не работает с записями A.

Примечание

Бесплатный сертификат выдается DigiCert. Для некоторых доменов верхнего уровня вы должны явно разрешить DigiCert в качестве издателя сертификатов, создав запись домена CAA со значением: 0 issue digicert.com .

Для создания бесплатного управляемого сертификата службы приложений:

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Создать управляемый сертификат службы приложений .

В диалоговом окне отображается любой неголовый домен, который правильно сопоставлен с вашим приложением с помощью записи CNAME.Выберите личный домен, для которого нужно создать бесплатный сертификат, и выберите Create . Вы можете создать только один сертификат для каждого поддерживаемого личного домена.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Импорт сертификата службы приложений

Если вы приобрели сертификат службы приложений в Azure, Azure управляет следующими задачами:

• Обеспечивает процесс покупки в GoDaddy.
• Выполняет проверку домена сертификата.
• Поддерживает сертификат в Azure Key Vault.
• Управляет обновлением сертификата (см. Обновление сертификата).
• Автоматически синхронизируйте сертификат с импортированными копиями в приложениях службы приложений.

Чтобы приобрести сертификат службы приложений, перейдите к Начать заказ сертификата.

Если у вас уже есть работающий сертификат службы приложений, вы можете:

Примечание

  ----- НАЧАТЬ СЕРТИФИКАТ -----
<весь ваш SSL-сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат 1 в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат в кодировке Base64 2>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь корневой сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----
  

  openssl pkcs12 -export -out myserver.pfx -inkey <файл-частного-ключа> -in <файл-сертификата слияния>
  

  secretname = $ (az resource show \
    --resource-group <имя-группы> \
    - тип ресурса "Microsoft.CertificateRegistration / certificateOrders" \
    --name  \
    --query "properties.certificates.  .keyVaultSecretName" \
    - выход цв)

az keyvault секрет скачать \
    --file appservicecertificate.pfx \
    - имя-хранилища <имя-хранилища> \
    --name $ secretname \
    - кодирование base64
  

  #! / Bin / bash

fqdn = 
pfxPath = <заменить-на-путь-к-вашему-.PFX-файлу>
pfxPassword = <заменить-на-ваш = .PFX-пароль>
resourceGroup = myResourceGroup
webappname = mywebapp $ RANDOM

# Создайте группу ресурсов.az group create --location westeurope --name $ resourceGroup

# Создайте план службы приложений на базовом уровне (минимум, необходимый для пользовательских доменов).
az appservice plan create --name $ webappname --resource-group $ resourceGroup --sku B1

# Создать веб-приложение.
az webapp create --name $ webappname --resource-group $ resourceGroup \
--plan $ webappname

echo "Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net"
read -p "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https: // aka.ms / appservicecustomdns, чтобы настроить запись CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.

# Сопоставьте подготовленное пользовательское доменное имя с веб-приложением.
az webapp config hostname add --webapp-name $ webappname --resource-group $ resourceGroup \
--hostname $ fqdn

# Загрузите сертификат SSL и получите отпечаток.
thumbprint = $ (az webapp config ssl upload --certificate-file $ pfxPath \
--certificate-password $ pfxPassword --name $ webappname --resource-group $ resourceGroup \
--query thumbprint --output tsv)

# Связывает загруженный сертификат SSL с веб-приложением.az webapp config ssl bind --certificate-thumbprint $ thumbprint --ssl-type SNI \
--name $ webappname --resource-group $ resourceGroup

echo "Теперь вы можете перейти по адресу https: // $ fqdn"
  

  $ fqdn = "<Замените на свое собственное доменное имя>"
$ pfxPath = "<Замените на путь к вашему файлу .PFX>"
$ pfxPassword = "<Замените своим паролем .PFX>"
$ webappname = "mywebapp $ (Get-Random)"
$ location = "Западная Европа"

# Создайте группу ресурсов.
New-AzResourceGroup -Name $ webappname -Location $ location

# Создайте план службы приложений на уровне бесплатного пользования.New-AzAppServicePlan -Name $ webappname -Location $ location `
-ResourceGroupName $ webappname -Tier Free

# Создать веб-приложение.
New-AzWebApp -Name $ webappname -Location $ location -AppServicePlan $ webappname `
-ResourceGroupName $ webappname

Write-Host «Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net»
Read-Host "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https://aka.ms/appservicecustomdns по настройке записи CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.# Обновить план службы приложений до базового уровня (минимум, необходимый для пользовательских сертификатов SSL)
Set-AzAppServicePlan -Name $ webappname -ResourceGroupName $ webappname `
-Уровень базовый

# Добавить собственное доменное имя в веб-приложение.
Set-AzWebApp -Name $ webappname -ResourceGroupName $ webappname `
-HostNames @ ($ fqdn, "$ webappname.azurewebsites.net")

# Загрузить и привязать сертификат SSL к веб-приложению.
New-AzWebAppSSLBinding -WebAppName $ webappname -ResourceGroupName $ webappname -Name $ fqdn `
-CertificateFilePath $ pfxPath -CertificatePassword $ pfxPassword -SslState SniEnabled