在将近3年的时间里,有一个Let's Encrypt认证中心,您可以免费获得X.509证书(也就是免费获得)。 从今年3月开始,甚至支持通配符证书,使您可以一次保护所有子域,而不必为每个子域指定特定名称。
DV(域验证)类型的证书的颁发期限为90天。 可以续订证书(同样,免费-无任何诱饵)。 服务不会发布更高级别的证书(组织验证或扩展验证)。
让我们加密使用一种称为ACME(自动证书管理环境)的协议。 您可以感谢主要赞助商有机会获得电子前沿基金会(EFF),Mozilla基金会,Akamai,思科系统公司的免费证书。
在该菜单下,您可以了解如何免费向您的Azure网站添加SSL证书。
该证书的发布时间为3个月,如果它以某种方式自动更新,那就太好了。 我建议为您使用的Azure扩展包含一个内置功能,该功能将使用WebJob更新证书,但是要实现其功能,必须创建Blob存储。 有一个扩展选项,不自动更新证书。 设置起来容易得多。 但我想提出一个更复杂的选择。 处理完之后,您可以找出一个不会自动更新证书的简单选项。
复制最便宜的选择是LRS(这里我们不需要某种复杂的复制)。 访问模型很酷,因为很少会进行数据访问-每3个月只进行一次。
我们需要一个连接字符串来Blob存储,可以在这里找到:
此连接字符串的值必须使用自定义类型和以下名称保存在我们的App Service的“应用程序设置”中:
现在,我们已经创建了Blob,我们可以向App Service添加扩展。
通过转到应用程序服务的扩展部分,然后单击添加+,您将找到2个选项。 一个具有WebJobs的证书会自动续订证书;另一个不会。 由于创建了Blob,因此可以使用WebJobs选择该选项。
现在,您可以进入扩展程序并单击“浏览”以打开扩展程序
或者该选项不适合懒惰的人-在浏览器行中输入地址
https://.scm.azurewebsites.net/letsencrypt/将打开一个具有以下设置的窗口:
现在,让我们找出值的来源。 表单的顶部有一个英文描述,但我会尝试用屏幕截图和一些小注释来解释。
租户和SubscriptionId值可以通过转到“结算”部分获得。
点击订阅
在这里,您可以在下面看到订阅ID和默认目录名称。 默认目录是“租户”。
使用ClientID和ClientSecret稍微复杂一些。 我们需要创建一个可以执行某些任务的帐户-服务主体。 您不能使用此帐户登录到Azure。 它仅用于执行一些内部任务。
通过Azure Active Directory创建它-App Registrations
点击+新申请注册
从创建的应用程序的数据中,您已经可以获取应用程序ID-这是所需的ClientID。 转到设置和键
输入创建密钥的描述,然后单击保存。
复制值VALUE-这是ClientSecret。
服务主体已经创建,但是需要添加权限。 为此,请转到App Service所在的资源组。 接下来去IAM
并使用贡献者角色为创建的服务主体添加新权限
现在,我们拥有填写表格所需的权利和所有必要的值。 ResourceGroupName是App Service所在的组的名称。 ServicePlanResourceGroupName是您的App Service的服务计划所在的组的名称。 如果您没有在App Service中使用开发槽,则可以省略SiteSlotName值。 但是您需要选中更新应用程序设置旁边的框。
输入所有必需的内容后,单击“下一步”,然后在下一页上显示一些有关现有证书的信息(如果我们突然重复此过程,则列表中将包含一些内容)。
我们进一步跳到下一步,并有机会选择主机名:
完成对新证书的请求后,您可以通过转到网站并单击证书旁边的锁来验证其性能。
官方英文手册可以在这里找到:
如何安装和设置让我们在Azure Web Apps上加密