обычно используются при шифровании SSL, для аутентификации людей и устройств, а также для проверки документов и кода.

Отличительной чертой хорошего центра сертификации является «повсеместность». Они должны быть совместимы с максимально возможным количеством версий операционных систем и интернет-браузеров, чтобы они могли обеспечивать непрерывную проверку сертификатов для всех пользователей на любом устройстве или в любой службе.

Простой английский ответ на вопрос «Чем занимаются центры сертификации?» это:

Они следят за тем, чтобы все в Интернете были такими, какими они себя называют.

Но почему мы должны верить им на слово?

Почему мы доверяем центрам сертификации?

Вы часто будете видеть фразу «центр сертификации» перед квалификатором «доверенный», потому что эта характеристика очень важна для их работы.

Чтобы центр сертификации был полезным, все должны доверять ему. Они несут ответственность за подтверждение того, что сущности в сети действительно являются теми, кем они себя называют. Доверенный центр сертификации является причиной того, что щелчок по ссылке на «https: // www.google.com »фактически приведет вас к Google, а не к поддельному сайту.

Построение такого доверия — занятие интересное и сложное. Им нужно широко доверять, чтобы привлекать клиентов, а для того, чтобы им доверяли, они должны уже иметь клиентов.

Здесь есть небольшая головоломка, состоящая из курицы и яйца, но есть способы ее обойти.

Надежные центры сертификации войдут в состав CA / Browser Forum, самоорганизующейся и контролирующей себя регулирующей группы для центров сертификации.Они коллективно создают и обновляют инструкции, регулирующие создание, использование и распространение сертификатов в Интернете.

Центр сертификации, который хочет использовать, также будет придерживаться «программ членства», определенных для каждого браузера и операционной системы. По сути, программы представляют собой набор строгих правил и рекомендаций, которым необходимо следовать, чтобы рассмотреть возможность интеграции.

Старые центры сертификации также обычно считаются более надежными по той же причине, по которой компании помещают на своих логотипах отметку «Установлено в XXXX».Люди ассоциируют долголетие с достоинством.

Часть процесса выдачи сертификата — это проверка личности. Каждый CA имеет свои собственные процедуры для подтверждения личности объекта, подающего заявку на сертификат. Это похоже на проверку биографических данных, но она также распространяется на устройства. Более строгие процедуры делают CA более надежным.

Иерархия доверия центра сертификации

В основе всех центров сертификации лежит корневой сертификат и связанный с ним закрытый ключ.Это своего рода «главный ключ» — он подписывает все цифровые сертификаты, выданные органом, и узаконивает их.

Отчасти их называют доверенными центрами сертификации , потому что мы по своей природе уверены, что они обеспечивают безопасность этого корневого каталога. Если он будет скомпрометирован, злоумышленники смогут ложно проверить любой сертификат, выданный ЦС, что может иметь катастрофические последствия.

Меры, применяемые центрами сертификации для защиты корневого каталога, чрезвычайно высоки.Обычно они хранятся в безопасном помещении, выключены и закрыты воздушными зазорами, так что нет возможности подключения к сети и возможности кражи.

Так как же он проверяет сертификаты в этом состоянии? Корень используется для создания промежуточных сертификатов , которые имеют ту же меру доверия, что и корень, поскольку они проверяются им. В то же время они общедоступны и могут проверять сертификаты вместо корневого. Если промежуточный сертификат скомпрометирован, корень всегда доступен в качестве резервной копии.

Что такое публичный центр сертификации?

Публичный ЦС, что неудивительно, является центром сертификации, который предоставляет услуги широкой публике. Любая организация, предоставляющая вам услуги центра сертификации, но не аффилированная с вами, является общедоступным центром сертификации.

Большинство публичных центров сертификации — это компании, завоевавшие доверие широкой публики. Есть и государственные центры сертификации, управляемые правительствами.

Это широко используемая утилита в Интернете. Большинство форм безопасности или конфиденциальности включают в себя публичный центр сертификации в той или иной форме.Примеры включают внедрение SSL, подписание цифровых документов и шифрование электронной почты.

Когда использовать общедоступный центр сертификации

Общедоступные центры сертификации выдают большинство сертификатов. Это вариант по умолчанию, которого достаточно для большинства случаев использования.

Поскольку вам часто приходится платить за каждый выпущенный сертификат, публичные центры сертификации — лучший вариант, если вам нужно выпустить только ограниченное количество сертификатов.

Это также незаменимое решение, когда ситуация требует прозрачной связи через Интернет.Для любого общедоступного продукта или услуги вам понадобится общедоступный центр сертификации.

Что такое частный центр сертификации?

Частные центры сертификации, также называемые локальными центрами сертификации, представляют собой автономные центры сертификации, обычно предназначенные для внутреннего использования.

У них намеренно ограниченная сфера действия — обычно они используются только в такой организации, как очень большая компания или университет. Частному ЦС на самом деле «доверяют» только пользователи внутри этой организации — и это нормально, потому что он редко взаимодействует с внешними сетями.

Является ли частный ЦС Wi-Fi более безопасным, чем общедоступный ЦС Wi-Fi? И да и нет. Это не по своей сути более безопасный из-за каких-либо различий в инфраструктуре или программном обеспечении. Это — это более безопасный, потому что в цепи меньше звеньев и меньше потенциальных точек отказа.

Очевидным недостатком частного центра сертификации является то, что вам придется самостоятельно настраивать и запускать инфраструктуру. Это требует значительных временных и финансовых затрат, поэтому обычно не используется, если в этом нет необходимости.

Когда использовать частный центр сертификации

Несмотря на хлопоты, частный центр сертификации предлагает очень важные преимущества.

Если вы предвидите необходимость выпуска большого количества сертификатов, либо потому, что организация крупная, либо сертификаты нужно будет часто перевыпускать, может быть дешевле запустить собственный ЦС, чем платить за каждую, выпущенную общедоступным ЦС.

также могут быть значительно более безопасными, чем их публичные аналоги. Если общедоступный ЦС выдает сертификаты всем, кто платит, частные ЦС ограничивают свои сертификаты определенными людьми или устройствами (обычно внутри организации).

Контроль истечения срока действия сертификата — важная функция для организаций, которые имеют циклический или временный характер. Было бы катастрофой, если бы сертификаты истекли в середине недели в университете, отключив всех людей и все устройства.

Использование частного центра сертификации является важной частью создания надежной и безопасной интрасети (внутренней сети).

Запуск собственного частного CA и PKI

Частный центр сертификации необходим для некоторых организаций, но его сложно настроить и поддерживать.SecureW2 предлагает полный набор услуг PKI, включая частный центр сертификации, адаптированный к вашим потребностям. У нас есть доступные варианты для организаций любого размера. Нажмите здесь, чтобы просмотреть наши варианты цен.

12 инструментов для отслеживания истечения срока действия SSL-сертификата из облака и сценариев

Для вебмастера покоя нет. Всегда есть чем заняться, чтобы сайты оставались здоровыми и работали в оптимальных условиях.

Например, проследите за сертификатами SSL, чтобы проверить, правильно ли они работают и не истек ли срок их действия.

Сертификаты открытого ключа X.509 — или, как мы все их называем, сертификаты SSL / TLS — имеют срок действия. После этой даты веб-сайты или приложения, над которыми они работают, просто перестанут отправлять и получать данные через Secure Sockets Layer (или сокращенно SSL), показывая предупреждение безопасности вашим посетителям или пользователям. Поэтому, как веб-мастер, вы должны быть уверены, что срок действия ваших сертификатов не истек. Это может быть неприятной задачей, если вам нужно поддерживать много сайтов или веб-приложений, поэтому было бы неплохо, чтобы кто-нибудь (или что-то) проверил для вас даты истечения срока действия и предупредил вас, когда эти даты приближаются.

Вы можете подумать, что вы не настолько ленивы. Я имею в виду, если у вас есть доска, висящая на стене вашего офиса, вы можете просто записать срок годности красным маркером и добавить пару восклицательных знаков, когда придет время продлевать сертификаты, верно?

Дело в том, что мониторинг сертификатов — это больше, чем просто периодическая проверка сроков их действия. Сертификатов больше, чем вы думаете — не только тот, который вы купили для своего сайта — и нужно проверять не только дату истечения срока действия, потому что сертификаты могут быть отозваны без вашего ведома.Кроме того, ваш сайт может быть заблокирован, если ваш сертификат недостаточно хорош или изменен из-за возможной атаки вредоносного ПО.

Итак, давайте рассмотрим все, что связано с мониторингом сертификатов.

Представляем цепочку доверия

Чтобы быть доверенным, сертификат SSL должен быть прослежен до доверенного корня, из которого он был подписан. Иными словами, он должен быть связан с доверенным центром сертификации (ЦС) через цепочку доверия. Цепочка доверия состоит из трех частей: корневого сертификата, промежуточных сертификатов и сертификата сервера.

* Корневой сертификат принадлежит ЦС, который бережно хранит его в хранилище доверенных сертификатов.

* Промежуточные сертификаты остаются между корневым сертификатом и сертификатом сервера, действуя как посредники между ними. В цепочке доверия может быть много промежуточных сертификатов, но должен быть хотя бы один.

* Сертификат сервера выдается для конкретного домена, который необходимо включить в цепочку доверия.

При покупке сертификата SSL вы также получаете пакет, включающий промежуточный корневой сертификат.Когда кто-то заходит на ваш веб-сайт, его браузер загружает ваш сертификат и возвращается по цепочке доверия к доверенному корневому сертификату. Если браузер не может отследить цепочку, он предупредит пользователя о возможной угрозе безопасности.

Цепочка доверия вашего сертификата может вызвать ошибки, если что-то было неправильно настроено. Распространенные проблемы включают то, что доверенный центр сертификации не выдал сертификат, что промежуточные сертификаты не установлены должным образом или что ваш сервер неправильно настроен с вашим сертификатом SSL.Это некоторые из проблем, которые инструменты мониторинга сертификатов могут проверить за вас.

Ниже мы перечисляем некоторые из самых популярных инструментов мониторинга сертификатов, которые могут освободить вас от задачи мониторинга сертификатов SSL / TLS.

Сукури

— это лишь одна из многих опций, которые Sucuri предлагает в своем наборе услуг для сканирования веб-сайтов с целью обнаружения возможных проблем с вредоносным ПО.

Когда служба обнаруживает, что в SSL-сертификат вашего веб-сайта были внесены изменения, она немедленно отправляет вам уведомление, чтобы вы могли предпринять необходимые действия.Полная услуга Sucuri по обнаружению вредоносных программ является платной, с тарифами от 199,99 долларов в год.

Помимо сертификатов SSL, он также сканирует на наличие вредоносных программ, SEO-спам, статус черного списка, DNS и мониторинг работоспособности.

Sematext

Sematext предлагает проверку истечения срока действия сертификата SSL в рамках своего мониторинга синтетических материалов. Не только действительность, но и отслеживание цепочки сертификатов, отслеживание изменений и многое другое.

Вы можете получить уведомление до истечения срока действия сертификата, а также в случае каких-либо ошибок по нескольким каналам, таким как Slack, Twilio, Zapier, VictorOps, настраиваемые хуки и многие другие.Это поможет вам избежать простоя вашего сайта из-за проблем с сертификатом. В дополнение к этому вы получите подробный отчет при изменении отслеживаемого сертификата.

Наряду с сертификатом SSL / TLS вы можете контролировать производительность всего веб-сайта, а цена начинается от 2 долларов за HTTP-монитор. Самое приятное, что вы платите по мере использования.

Обновление

Updown предлагает простую и недорогую услугу мониторинга веб-сайтов, включая тестирование SSL. После настройки службы вы начнете получать предупреждения в случае недействительных или истекающих сертификатов.Плата за обновление взимается только за то, что вы используете, без необходимости платить фиксированную ежемесячную или годовую плату.

Вы покупаете кредиты и настраиваете монитор, который работает до тех пор, пока не израсходует кредит. Например, если вы хотите проверять два веб-сайта каждую минуту, это будет стоить вам около 1,17 евро в месяц. Охватываемые системы оповещения включают SMS, Webhook, Zapier, Telegram и Slack.

Статусный торт

Если вы ищете решение для мониторинга SSL, которое сделает всю тяжелую работу за вас, то StatusCake — идеальный инструмент.

Он будет следить за вашим SSL-сертификатом, предупреждать вас, когда истекает срок его действия или уже истек, и поможет вам убедиться, что он настроен правильно. Более того, StatusCake интегрируется с 18 различными платформами, что позволяет вам выбирать, как вы будете получать оповещения, и кто в вашей команде должен их получать.

Не уверены, как SSL-мониторинг повлияет на ваш сайт?

StatusCake устраняет риск нарушения процесса транзакции, снижения вашего рейтинга в поиске в Google и снижения уровня удовлетворенности клиентов, и все это благодаря их SSL-мониторингу.

Это еще не все. В StatusCake есть интеллектуальный алгоритм SSL, который вычисляет ваш рейтинг SSL на основе настроек вашего сертификата. Они отправят вам подробный отчет по SSL, чтобы вы могли легко определить любые проблемы в серверной части, которые могут повлиять на ваш веб-сайт и, в конечном итоге, на вашу прибыль.

О, дорогой!

О, дорогой! делает больше, чем просто отслеживает сертификат вашего домена.

Он выполняет полную проверку цепочки доверия ваших сертификатов, проверяя все ваши промежуточные сертификаты.Если он обнаружит изменение в любом из сертификатов, он представит вам чистый отчет, сравнивающий ситуацию до и после, чтобы увидеть, было ли изменение в каком-либо из охваченных доменов. Эта служба также ищет старые сертификаты SHA-1, отозванные или ненадежные корневые сертификаты, которые могут привести к недоступности сайта.

HTTPS Полицейский

Ашиш Кумар предлагает бесплатную услугу предупреждения об истечении срока действия сертификата просто потому, что он хочет сделать Интернет более безопасным и опубликовать свой продукт HTTPS Cop, который скоро будет выпущен, полный набор инструментов для проверки всех типов проблем с веб-сайтом. SSL-сертификаты.

Даже несмотря на то, что полная версия продукта еще не выпущена, служба оповещений полностью функционирует. Вам просто нужно ввести URL своего веб-сайта и адрес электронной почты, и вы начнете получать уведомления за две недели до истечения срока действия сертификатов. Вы можете добавить столько сайтов, сколько хотите.

Ключница

Keychest — это цифровые сертификаты. Его служба предлагает еженедельные отчеты по электронной почте и сводки на панели управления для всех ваших сертификатов с постоянным обнаружением новых сертификатов благодаря своей глобальной базе данных.Он также предлагает автоматизацию продления с помощью сторонних центров сертификации и управление Let’s Encrypt для предприятий.

С Keychest вы также можете приобретать сертификаты с уникальным четырехэтапным процессом покупки с расчетом цены. Покупка включает создание и загрузку CSR для Linux и Windows, а также полную автоматизацию продлений.

CertsMonitor

CertsMonitor предлагает решить все проблемы с вашими сертификатами до того, как они начнут выдавать вам, посетители, неприятные предупреждения о «небезопасном соединении».Эта услуга включает в себя ведение вкладки в системе Let’s Encrypt cron, исправление ошибок до истечения срока действия сертификатов и быстрое определение того, отозван ли сертификат вашего домена или неправильно настроен.

Вы можете получать напоминания по электронной почте или через Slack. Услуга бесплатна для мониторинга до 2 доменов и стоит 29 долларов в год для 30 доменов.

Монитор истечения срока действия сертификата

Certificate Expiry Monitor — это утилита с открытым исходным кодом, которая показывает дату истечения срока действия сертификатов TLS в качестве показателей Prometheus для тех, кто предпочитает создавать свои собственные инструменты.Утилита может быть построена на образе Docker или кластере Kubernetes.

Проект включает в себя обширную документацию для доступа к конечной точке Prometheus для мониторинга, выполнения простой проверки работоспособности и доступа ко многим датчикам и счетчикам, которые показывают жизненно важную статистику сертификатов.

Let’s Monitor

Если вам нужно обновить сертификаты или они не работают, Let’s Monitor бесплатно предупредит вас об этом. Служба может отправлять уведомления нескольким контактам в команде через сообщения электронной почты или SMS.Он также отслеживает время безотказной работы и производительность, чтобы веб-сайты оставались отзывчивыми, а их данные оставались зашифрованными. Чтобы обеспечить глобальный доступ к вашему защищенному сайту, Let’s Monitor использует глобально распределенные серверы.

Кроме того, Let’s Monitor предлагает другие расширенные услуги мониторинга, такие как производительность, доступность, угрозы и возможность подключения, среди прочего. Чтобы начать пользоваться всеми этими услугами, вам просто нужно зарегистрироваться, указав адрес электронной почты и пароль.

TrackSSL

TrackSSL — это веб-сервис, который регулярно проверяет ваши SSL-сертификаты на наличие распространенных ошибок.Чтобы начать его использовать, вам просто нужно создать учетную запись и добавить сертификаты через веб-интерфейс. Вы будете получать уведомления по электронной почте, когда служба обнаруживает проблемы с сертификатами, такие как ожидающий истечения срока действия или неправильно настроенные хосты.

TrackSSL гарантирует, что изменения инфраструктуры не повлияют на ваши сертификаты, отправляя вам уведомления при каждом обнаружении изменений. Вы можете настроить уведомления в соответствии с вашими потребностями, с возможностью интеграции со Slack и получения уведомлений в свой канал #devops.Тарифные планы начинаются с 12 долларов в год и охватывают до 20 доменов.

Проверка срока действия сертификата SSL

SSL-cert-check — это бесплатный сценарий оболочки с открытым исходным кодом, который можно запустить из cron, чтобы сообщить об истечении срока действия сертификатов SSL. Он может отправлять предупреждения по электронной почте или регистрировать предупреждения через Nagios. Утилита имеет несколько опций, которые вы можете просмотреть с помощью опции «-h».

Если вы управляете множеством сертификатов на веб-сервере, SSL-cert-check можно использовать для печати даты истечения срока действия каждого из них.Если у вас нет локального доступа к файлам сертификатов, вы можете использовать опцию сетевого подключения утилиты, чтобы извлечь даты истечения срока действия сертификатов с действующего сервера.

Если вам нужно контролировать большое количество серверов, вы можете поместить их имена и номера портов в файл, а затем запустить SSL-cert-check для этого файла.

Заключение

Если вы не обнаружите просроченные сертификаты достаточно рано, последствия могут быть очень болезненными. Рассмотренные здесь инструменты предлагают функции уведомлений, которые могут помочь вам избежать проблем, дать вам душевное спокойствие и избавить вас от всех проблем, связанных с сертификатами вашего веб-сайта.

В чем разница между государственным и частным трастовым сертификатом?

Общедоступные и частные доверительные сертификаты — это типы сертификатов SSL / TLS, которые отформатированы для различных вариантов использования. Entrust Datacard выдает сертификаты SSL / TLS, чтобы соответствовать как публичной, так и частной моделям доверия. Но в чем разница между этими моделями?

Модель общественного доверия для сертификатов SSL / TLS

Общедоступные сертификаты SSL / TLS используются для проектов общедоступных веб-сайтов (например,g., веб-сайты, целевые страницы, микросайты и т. д.) и необходимы, чтобы избежать предупреждений браузера. Открытый сертификат может использоваться для защиты связи сервер-клиент или сервер-сервер и может быть выдан только доверенным центром сертификации (ЦС).

Доверие — ключ к полезности публичных сертификатов SSL / TLS. В модели общественного доверия центры сертификации привязывают свои корневые сертификаты к цепочке иерархии доверия, которая есть в различных браузерах — Safari, Chrome, Microsoft, Mozilla и Firefox, и, в большинстве случаев, у поставщиков операционных систем — Windows OSX, iOS и Android.Эти корневые сертификаты по сути символизируют то, что CA будет управлять сертификатами и выдавать их в соответствии с политиками, установленными CA / Browser Forum, группой отраслевых стандартов. Политика регулируется браузерами и поставщиками, которые распространяют корневые сертификаты среди людей, использующих их платформы (пользователей). Это указывает своим пользователям, что сертификат SSL / TLS был выдан владельцу домена доверенным центром сертификации и что передаваемые данные будут зашифрованы для обеспечения безопасности транзакций.Специальные сертификаты, такие как подпись документов или кода, требуют доверия со стороны таких поставщиков программного обеспечения, как Adobe или Oracle.

, выданные ЦС, которым доверяет корневой ЦС в общедоступной системе доверия, должны соответствовать политикам, установленным браузерами и / или поставщиками программного обеспечения. Поставщики программного обеспечения могут публиковать свои собственные политики или потребовать от центров сертификации соблюдения требований CA / Browser Forum. Эти политики постоянно отслеживаются на предмет слабых сторон безопасности и обновляются, чтобы поддерживать экосистему SSL / TLS и предотвращать нанесение вреда сообществу пользователей.С помощью доверенного центра сертификации держатели сертификатов могут поддерживать соответствие с новыми и появляющимися изменениями политики, чтобы избежать прерывания обслуживания.

Модель частного доверия для сертификатов SSL / TLS

Частные сертификаты используются для защиты любой внутренней сети и могут быть выданы либо доверенным центром сертификации, либо любой организацией, у которой есть собственная внутренняя PKI. Они могут защищать межсерверную связь только для IP-адресов и незарегистрированных доменов — другими словами, URL-адресов, которые могут быть видны только ограниченной группе пользователей.

Модель частного доверия не требует, чтобы центры сертификации привязывали свои корневые сертификаты к иерархии доверия для браузеров или поставщиков программного обеспечения, поэтому они не доверяют им. Центры сертификации могут устанавливать и управлять своими собственными политиками сертификатов для частных сертификатов, обеспечивая большую гибкость для внутренней ИТ-среды.

Модель частного доверия обычно используется с корпоративными центрами сертификации. В этом случае предприятие создало собственный частный выделенный ЦС, который можно использовать для обеспечения доверия для сотрудников, партнеров, корпоративных серверов и т. Д.Затем предприятие может выдавать частные сертификаты для внутреннего использования и создавать свои собственные инструкции.

Entrust Datacard также предоставляет сертификаты Private Trust SSL / TLS своим многочисленным подписчикам из одного центра сертификации. В модели частного доверия Entrust Datacard устанавливает политику для частных сертификатов, чтобы гарантировать безопасность всех подписчиков.

Преимущество сертификата Private Trust SSL / TLS заключается в том, что он обеспечивает гибкость для внутренних ИТ-сред, которые не приемлемы для модели общественного доверия.Частные сертификаты могут 1) использоваться для защиты незарегистрированных доменных имен, 2) иметь более длительный срок действия (до 39 месяцев) и 3) избегать частых изменений, вызванных обновлениями государственной политики. За исключением определенных исключений, частные выделенные центры сертификации работают на том же уровне безопасности, что и общедоступные доверенные центры сертификации. Это включает в себя соблюдение тех же методов проверки и прохождение ежегодного аудита, чтобы убедиться, что они соответствуют политикам, установленным для модели частного доверия.

Подводя итог, общедоступные сертификаты SSL / TLS необходимы для цифровых проектов, которые могут быть просмотрены публично — любым, кто просматривает Интернет, или другим сообществом пользователей.Принимая во внимание, что частное доверие обеспечивает безопасную услугу для внутренней ИТ-среды, которая дает подписчикам сертификатов больше времени для развития своих систем в соответствии с более строгими требованиями, необходимыми для общественного доверия.

Блог из 7 частей Серия

1. SSL / TLS 101 — Зачем мне нужен сертификат SSL / TLS
2. Типы сертификатов SSL / TLS — выбор подходящего для вашего варианта использования
3. Проверка SSL / TLS — Цифровая идентификация для вашего веб-сайта
4. Что такое SAN (альтернативное имя субъекта) и как оно используется?
5. Что такое CSR и как его получить?
6. В чем разница между государственным и частным трастовым сертификатом?
7. Как создать сертификат SSL / TLS | Пять простых шагов, которые приведут вас к HTTPS

Дополнительные ресурсы

Как определить подлинный веб-сайт
Как работает SSL / TLS?
Двухнедельная демонстрация управления сертификатами

Добавление сертификатов TLS / SSL и управление ими — Служба приложений Azure

• 13.05.2021
• 17 минут на чтение

В этой статье

Служба приложений Azure предоставляет хорошо масштабируемую службу веб-хостинга с автоматическими исправлениями.В этой статье показано, как создать, загрузить или импортировать частный сертификат или общедоступный сертификат в службу приложений.

После того, как сертификат добавлен в приложение службы приложений или приложение-функцию, вы можете защитить с его помощью настраиваемое DNS-имя или использовать его в коде приложения.

Примечание

Сертификат, загруженный в приложение, хранится в модуле развертывания, который привязан к комбинации группы ресурсов и региона плана службы приложения (внутреннее название веб-пространство ).Это делает сертификат доступным для других приложений в той же комбинации группы ресурсов и региона.

В следующей таблице перечислены параметры, которые у вас есть для добавления сертификатов в службу приложений:

Предварительные требования

Требования к частному сертификату

Бесплатный управляемый сертификат службы приложений и сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы решите загрузить или импортировать частный сертификат в службу приложений, ваш сертификат должен соответствовать следующим требованиям:

• Экспортируется как защищенный паролем файл PFX, зашифрованный с использованием тройного DES.
• Содержит закрытый ключ длиной не менее 2048 бит
• Содержит все промежуточные сертификаты в цепочке сертификатов

Для защиты личного домена в привязке TLS к сертификату предъявляются дополнительные требования:

• Содержит расширенное использование ключа для аутентификации сервера (OID = 1.3.6.1.5.5.7.3.1)
• Подписано доверенным центром сертификации

Примечание

Сертификаты Elliptic Curve Cryptography (ECC) могут работать со службой приложений, но не рассматриваются в этой статье. Работайте со своим центром сертификации над точными шагами по созданию сертификатов ECC.

Подготовьте веб-приложение

Для создания настраиваемых привязок TLS / SSL или включения клиентских сертификатов для приложения службы приложений ваш план службы приложений должен быть на уровне Basic , Standard , Premium или Isolated .На этом этапе вы убедитесь, что ваше веб-приложение находится на поддерживаемом ценовом уровне.

Войти в Azure

Откройте портал Azure.

Перейдите к своему веб-приложению

Найдите и выберите Службы приложений .

На странице App Services выберите имя своего веб-приложения.

Вы попали на страницу управления своего веб-приложения.

Проверить ценовой уровень

На левой панели навигации страницы веб-приложения перейдите к разделу Параметры и выберите Увеличить масштаб (план службы приложений) .

Убедитесь, что ваше веб-приложение не относится к уровню F1 или D1 . Текущий уровень вашего веб-приложения выделен темно-синей рамкой.

Пользовательский SSL не поддерживается на уровне F1 или D1 . Если вам нужно увеличить масштаб, выполните действия, описанные в следующем разделе. В противном случае закройте страницу Увеличение масштаба и пропустите раздел «Увеличение масштаба плана службы приложений».

Расширьте свой план обслуживания приложений

Выберите любой из платных уровней ( B1 , B2 , B3 или любой уровень в категории Production ).Для дополнительных параметров щелкните См. Дополнительные параметры .

Нажмите Применить .

Когда вы увидите следующее уведомление, операция масштабирования завершена.

Создать бесплатный управляемый сертификат

Бесплатный управляемый сертификат службы приложений — это готовое решение для защиты настраиваемого DNS-имени в службе приложений. Это сертификат сервера TLS / SSL, который полностью управляется службой приложений и обновляется непрерывно и автоматически с интервалом в шесть месяцев, за 45 дней до истечения срока действия.Вы создаете сертификат и привязываете его к личному домену, а все остальное позволяете службе приложений.

Бесплатный сертификат имеет следующие ограничения:

• Не поддерживает сертификаты с подстановочными знаками.
• Не поддерживает использование в качестве сертификата клиента по отпечатку сертификата (планируется удаление отпечатка сертификата).
• Не подлежит экспорту.
• не поддерживается в среде службы приложений (ASE).
• Не поддерживается корневыми доменами, интегрированными с диспетчером трафика.
• Если сертификат предназначен для домена с сопоставлением CNAME, CNAME должен быть сопоставлен непосредственно с <имя-приложения> .azurewebsites.net .

Примечание

Бесплатный сертификат выдается DigiCert. Для некоторых доменов верхнего уровня необходимо явно разрешить DigiCert в качестве эмитента сертификатов, создав запись домена CAA со значением: 0 issue digicert.com .

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Параметры TLS / SSL > Сертификаты закрытого ключа (.pfx) > Создать управляемый сертификат службы приложений .

Выберите личный домен, для которого нужно создать бесплатный сертификат, и выберите Создать . Вы можете создать только один сертификат для каждого поддерживаемого личного домена.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Импорт сертификата службы приложений

Если вы приобрели сертификат службы приложений в Azure, Azure управляет следующими задачами:

• Обеспечивает процесс покупки в GoDaddy.
• Выполняет проверку сертификата домена.
• Поддерживает сертификат в Azure Key Vault.
• Управляет обновлением сертификата (см. Обновление сертификата).
• Автоматическая синхронизация сертификата с импортированными копиями в приложениях службы приложений.

Чтобы приобрести сертификат службы приложений, перейдите к Начать заказ сертификата.

Если у вас уже есть работающий сертификат службы приложений, вы можете:

Примечание

  ----- НАЧАТЬ СЕРТИФИКАТ -----
<весь ваш SSL-сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат 1 в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат в кодировке Base64 2>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь корневой сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----
  

  openssl pkcs12 -export -out myserver.pfx -inkey <файл-частного-ключа> -in <файл-сертификата слияния>
  

  secretname = $ (az resource show \
    --resource-group <имя-группы> \
    - тип ресурса "Microsoft.CertificateRegistration / certificateOrders" \
    --name  \
    --query "properties.certificates.  .keyVaultSecretName" \
    --выход цв)

az keyvault секрет скачать \
    --file appservicecertificate.pfx \
    - имя-хранилища <имя-хранилища> \
    --name $ secretname \
    - кодирование base64
  

  #! / Bin / bash

fqdn = 
pfxPath = <заменить-на-путь-к-вашему-.PFX-файлу>
pfxPassword = <заменить-на-ваш = .PFX-пароль>
resourceGroup = myResourceGroup
webappname = mywebapp $ RANDOM

# Создайте группу ресурсов.az group create --location westeurope --name $ resourceGroup

# Создайте план службы приложений на уровне Basic (минимум, необходимый для пользовательских доменов).
az appservice plan create --name $ webappname --resource-group $ resourceGroup --sku B1

# Создайте веб-приложение.
az webapp create --name $ webappname --resource-group $ resourceGroup \
--plan $ webappname

echo "Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net"
read -p "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https: // aka.ms / appservicecustomdns, чтобы настроить запись CNAME для
# hostname "www" и укажите на него доменное имя по умолчанию вашего веб-приложения.

# Сопоставьте подготовленное пользовательское доменное имя с веб-приложением.
az webapp config hostname add --webapp-name $ webappname --resource-group $ resourceGroup \
--hostname $ fqdn

# Загрузите сертификат SSL и получите отпечаток.
thumbprint = $ (az webapp config ssl upload --certificate-file $ pfxPath \
--certificate-password $ pfxPassword --name $ webappname --resource-group $ resourceGroup \
--query thumbprint --output tsv)

# Связывает загруженный сертификат SSL с веб-приложением.az webapp config ssl bind --certificate-thumbprint $ thumbprint --ssl-type SNI \
--name $ webappname --resource-group $ resourceGroup

echo "Теперь вы можете перейти по адресу https: // $ fqdn"
  

  $ fqdn = "<Замените на свое собственное доменное имя>"
$ pfxPath = "<Замените на путь к вашему файлу .PFX>"
$ pfxPassword = "<Замените своим паролем .PFX>"
$ webappname = "mywebapp $ (Get-Random)"
$ location = "Западная Европа"

# Создайте группу ресурсов.
New-AzResourceGroup -Name $ webappname -Location $ location

# Создайте план службы приложений на уровне бесплатного пользования.New-AzAppServicePlan -Name $ webappname -Location $ location `
-ResourceGroupName $ webappname -Tier Free

# Создайте веб-приложение.
New-AzWebApp -Name $ webappname -Location $ location -AppServicePlan $ webappname `
-ResourceGroupName $ webappname

Write-Host «Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net»
Read-Host "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https://aka.ms/appservicecustomdns для настройки записи CNAME для
# hostname "www" и укажите на него доменное имя по умолчанию вашего веб-приложения.# Обновите план службы приложений до уровня Basic (минимум, необходимый для настраиваемых сертификатов SSL)
Set-AzAppServicePlan -Name $ webappname -ResourceGroupName $ webappname `
-Уровень базовый

# Добавить собственное доменное имя в веб-приложение.
Set-AzWebApp -Name $ webappname -ResourceGroupName $ webappname `
-HostNames @ ($ fqdn, "$ webappname.azurewebsites.net")

# Загрузите и привяжите сертификат SSL к веб-приложению.
New-AzWebAppSSLBinding -WebAppName $ webappname -ResourceGroupName $ webappname -Name $ fqdn `
-CertificateFilePath $ pfxPath -CertificatePassword $ pfxPassword -SslState SniEnabled