Seit fast 3 Jahren gibt es ein Let's Encrypt-Zertifizierungscenter, mit dem Sie kostenlos (dh umsonst) ein X.509-Zertifikat erhalten können. Seit März dieses Jahres werden sogar Platzhalterzertifikate unterstützt, mit denen Sie alle Subdomains gleichzeitig schützen können, anstatt für jede einen bestimmten Namen anzugeben.
Das Zertifikat vom Typ DV (Domain Validation) wird für einen Zeitraum von 90 Tagen ausgestellt. Es ist möglich, das Zertifikat zu erneuern (wieder kostenlos - ohne Köder). Übergeordnete Zertifikate (Organisationsvalidierung oder erweiterte Validierung) werden vom Dienst nicht ausgestellt.
Let's Encrypt verwendet ein Protokoll namens ACME (Automated Certificate Management Environment). Sie können den Hauptsponsoren für die Möglichkeit danken, ein kostenloses Zertifikat in der Person der Electronic Frontier Foundation (EFF), der Mozilla Foundation, Akamai und Cisco Systems zu erhalten.
Unter dem Schnitt erfahren Sie, wie Sie Ihrer Azure-Website kostenlos ein SSL-Zertifikat hinzufügen können.
Das Zertifikat wird für 3 Monate ausgestellt und es wäre schön, wenn es irgendwie automatisch aktualisiert würde. Die Azure-Erweiterung, die ich für Sie verwenden möchte, enthält eine integrierte Funktion, mit der das Zertifikat mithilfe von WebJob aktualisiert wird. Für seine Funktion ist es jedoch erforderlich, einen Blob-Speicher zu erstellen. Es gibt eine Erweiterungsoption ohne automatische Zertifikatserneuerung. Es ist viel einfacher einzurichten. Aber ich möchte eine komplexere Option erkennen. Nachdem Sie sich damit befasst haben, können Sie eine einfache Option finden, mit der das Zertifikat nicht automatisch erneuert wird.
Die kostengünstigste Option für die Replikation ist LRS (hier benötigen wir keine hochentwickelte Replikation). Das Zugriffsmodell ist cool, da der Datenzugriff selten erfolgt - nur einmal alle 3 Monate.
Wir benötigen eine Verbindungszeichenfolge zum Blob-Speicher, die hier zu finden ist:
Der Wert dieser Verbindungszeichenfolge muss in den Anwendungseinstellungen unseres App Service mit dem benutzerdefinierten Typ und den folgenden Namen gespeichert werden:
Nachdem wir den Blob erstellt haben, können wir dem App Service eine Erweiterung hinzufügen.
Wenn Sie im Bereich "Erweiterungen" Ihres App-Dienstes auf "Hinzufügen" + klicken, finden Sie zwei Optionen. Einer mit WebJobs erneuert das Zertifikat automatisch, der andere nicht. Da wir Blob erstellt haben, können wir die Option mit WebJobs auswählen.
Jetzt können Sie in die Erweiterung gehen und auf Durchsuchen klicken, um die Erweiterung zu öffnen
Oder die Option ist nicht für Faule - geben Sie die Adresse
https://.scm.azurewebsites.net/letsencrypt/ in die
https://.scm.azurewebsites.net/letsencrypt/ ein
Ein Fenster mit den folgenden Einstellungen wird geöffnet:
Lassen Sie uns nun herausfinden, von welchen Werten sie stammen. Am oberen Rand des Formulars befindet sich eine Beschreibung auf Englisch, aber ich werde versuchen, dies mit Screenshots und kleinen Kommentaren zu erklären.
Die Werte für Mandant und Abonnement-ID erhalten Sie im Abschnitt "Abrechnung".
Klicken Sie auf Abonnement
Hier sehen Sie sowohl die Abonnement-ID als auch den Standardverzeichnisnamen direkt darunter. Das Standardverzeichnis ist Tenant.
Mit ClientID und ClientSecret etwas komplizierter. Wir müssen eine Art Konto erstellen, unter dem einige Aufgaben ausgeführt werden können - Dienstprinzipal. Sie können sich mit diesem Konto nicht bei Azure anmelden. Es sind nur einige interne Aufgaben vorgesehen.
Erstellen Sie es über Azure Active Directory - App-Registrierungen
Klicken Sie auf + Neue Anwendungsregistrierung
Aus den Daten der erstellten Anwendung können Sie bereits die Anwendungs-ID entnehmen - dies ist die gewünschte Client-ID. Gehen Sie zu Einstellungen und Tasten
Geben Sie die BESCHREIBUNG des erstellten Schlüssels ein und klicken Sie auf Speichern.
Kopieren Sie den Wert VALUE - dies ist ClientSecret.
Ein Dienstprinzipal wurde erstellt, muss jedoch Rechte hinzufügen. Wechseln Sie dazu zu der Ressourcengruppe, in der sich der App Service befindet. Als nächstes gehe zu IAM
Fügen Sie mit der Rolle "Mitwirkender" eine neue Berechtigung für den erstellten Dienstprinzipal hinzu
Jetzt haben wir die Rechte und alle Werte, die zum Ausfüllen des Formulars erforderlich sind. ResourceGroupName ist der Name der Gruppe, in der sich der App Service befindet. ServicePlanResourceGroupName ist der Name der Gruppe, deren Serviceplan sich für Ihren App Service befindet. Der SiteSlotName-Wert kann weggelassen werden, wenn Sie keine Entwicklungsslots im App Service verwenden. Sie müssen jedoch das Kontrollkästchen neben Anwendungseinstellungen aktualisieren aktivieren.
Nachdem Sie alle erforderlichen Informationen eingegeben haben, klicken Sie auf Weiter. Auf der nächsten Seite werden einige Informationen zu vorhandenen Zertifikaten angezeigt (wenn wir den Vorgang plötzlich wiederholen, wird etwas in der Liste angezeigt).
Wir springen weiter zu Weiter und erhalten die Möglichkeit, Hostnamen auszuwählen:
Nachdem Sie die Anforderung eines neuen Zertifikats abgeschlossen haben, können Sie dessen Leistung überprüfen, indem Sie auf die Website gehen und auf das Schloss neben dem Zertifikat klicken
Das offizielle englische Handbuch finden Sie hier:
Installieren und Einrichten von Let's Encrypt in Azure Web Apps