Desde hace casi 3 años, existe un centro de certificación Let's Encrypt que le permite recibir un certificado X.509 de forma gratuita (es decir, para nada). Desde marzo de este año, incluso los certificados comodín han sido compatibles, lo que le permite proteger todos los subdominios a la vez, en lugar de especificar un nombre específico para cada uno.
El certificado de tipo DV (Validación de dominio) se emite por un período de 90 días. Es posible renovar el certificado (de nuevo, de forma gratuita, sin ningún tipo de señuelo). El servicio no emite certificados de nivel superior (Validación de organización o Validación extendida).
Let's Encrypt utiliza un protocolo llamado ACME (Entorno de gestión de certificados automatizado). Puede agradecer a los principales patrocinadores por la oportunidad de recibir un certificado gratuito en persona de Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.
Debajo del corte, puede leer acerca de cómo agregar un certificado SSL a su sitio web de Azure de forma gratuita.
El certificado se emite por 3 meses y sería bueno si de alguna manera se actualizara automáticamente. La extensión de Azure que propongo usar para usted contiene una característica incorporada que actualizará el certificado usando WebJob, pero para su funcionamiento es necesario crear almacenamiento de Blob. Hay una opción de extensión sin renovación automática de certificado. Es mucho más fácil de configurar. Pero quiero distinguir una opción más compleja. Una vez solucionado el problema, puede descubrir una opción simple que no renueve automáticamente el certificado.
La opción más barata para la replicación es LRS (aquí no necesitamos algún tipo de replicación sofisticada). El modelo de acceso es genial ya que el acceso a los datos rara vez ocurrirá, solo una vez cada 3 meses.
Necesitamos una cadena de conexión para el almacenamiento de blobs, que se puede encontrar aquí:
El valor de esta cadena de conexión debe guardarse en la Configuración de la aplicación de nuestro Servicio de aplicaciones con el tipo Personalizado y los siguientes nombres:
Ahora que hemos creado blob, podemos agregar una extensión al Servicio de aplicaciones.
Al ir a la sección Extensiones de su Servicio de aplicaciones y hacer clic en Agregar +, encontrará 2 opciones. Uno con WebJobs renueva el certificado automáticamente; el otro no. Desde que creamos blob, podemos elegir la opción con WebJobs.
Ahora puede acceder a la extensión y hacer clic en Examinar para abrir la extensión.
O la opción no es para los perezosos: ingrese la dirección
https://.scm.azurewebsites.net/letsencrypt/ en la línea del navegador
Se abrirá una ventana con la siguiente configuración:
Ahora descubramos de qué valores provienen. En la parte superior del formulario hay una descripción en inglés, pero intentaré explicarlo con capturas de pantalla y pequeños comentarios.
Los valores de Inquilino y SubscriptionId pueden obtenerse yendo a la sección de facturación.
Haga clic en suscripción
Aquí puede ver la ID de suscripción y el nombre del directorio predeterminado justo debajo. El directorio predeterminado es Inquilino.
Con ClientID y ClientSecret un poco más complicado. Necesitamos crear un tipo de cuenta bajo la cual se puedan realizar algunas tareas: principal de servicio. No puede iniciar sesión en Azure con esta cuenta. Está destinado solo a realizar algunas tareas internas.
Créelo a través de Azure Active Directory: registros de aplicaciones
Click + Nueva solicitud de registro
A partir de los datos de la aplicación creada, ya puede tomar el ID de la aplicación: este es el ClientID deseado. Vaya a Configuración y teclas
Ingrese la DESCRIPCIÓN de la clave creada y haga clic en Guardar.
Copie el valor VALOR: esto es ClientSecret.
Se ha creado un director de servicio, pero necesita agregar derechos. Para hacer esto, vaya al grupo de recursos en el que se encuentra el Servicio de aplicaciones. Luego ve a IAM
Y agregue un nuevo permiso para el principal de servicio creado con el rol Colaborador
Ahora tenemos los derechos y todos los valores necesarios para completar el formulario. ResourceGroupName es el nombre del grupo en el que se encuentra el Servicio de aplicaciones. ServicePlanResourceGroupName es el nombre del grupo cuyo plan de servicio de su Servicio de aplicaciones se encuentra. El valor de SiteSlotName se puede omitir si no está utilizando Slots de desarrollo en el Servicio de aplicaciones. Pero debe marcar la casilla junto a Actualizar configuración de la aplicación.
Después de ingresar todo lo que se requiere, haga clic en Siguiente y en la página siguiente se nos mostrará información sobre los certificados existentes (si de repente repetimos el proceso, habrá algo en la lista).
Pasamos a Siguiente y tenemos la oportunidad de seleccionar nombres de host:
Una vez completada la solicitud de un nuevo certificado, puede verificar su rendimiento yendo al sitio web y haciendo clic en el candado al lado del certificado
El manual oficial en inglés se puede encontrar aquí:
Cómo instalar y configurar Let's Encrypt en aplicaciones web de Azure