Activer HTTPS pour un domaine personnalisé dans Azure App Service

Cet article vous montre comment fournir une sécurité pour le domaine personnalisé dans votre application ou application de fonctionAzure App Service en créant une liaison de certificat. Lorsque vous avez terminé, vous pouvez accéder à votre application App Service sur le point de terminaison https:// de votre nom DNS (Domain Name System) personnalisé. par exemple https://www.contoso.com.

Prérequis

• Effectuez un scale-up de votre application App Service vers l’un des niveaux tarifaires pris en charge : De base, Standard ou Premium.
• Mappez un nom de domaine à votre application ou achetez-le et configurez-le dans Azure.

Ajouter la liaison

Dans le portail Azure:

1. Dans le volet gauche, sélectionnez App Services><app-name>.

2. Dans le volet gauche de votre application, sélectionnez Domaines personnalisés.

3. En regard du domaine personnalisé, sélectionnez Ajouter une liaison.

   

4. Si votre application dispose déjà d’un certificat pour le domaine personnalisé sélectionné, vous pouvez le sélectionner dans Certificat. Si ce n’est pas le cas, vous devez ajouter un certificat à l’aide de l’une des sélections dans Source :

   • Créer un certificat managé App Service : laissez App Service créer un certificat managé pour votre domaine sélectionné. Cette option est la plus simple. Pour plus d’informations, consultez Créer un certificat managé gratuit.
   • Importer un certificat App Service : dans Le certificat App Service, sélectionnez le certificat App Service que vous avez acheté pour votre domaine sélectionné.
   • Charger le certificat (.pfx) : suivez le flux de travail lors du chargement d’un certificat privé pour charger un certificat PFX (Personal Information Exchange File) à partir de votre ordinateur local et spécifiez le mot de passe du certificat.
   • Importer à partir de Key Vault : choisissez Sélectionner un certificat de coffre de clés et sélectionnez le certificat dans la boîte de dialogue.

5. Dans le type TLS/SSL, sélectionnez SSL SNI ou SSL basé sur IP :

   • SNI SSL : vous pouvez ajouter plusieurs liaisons SSL (Secure Sockets Layer) SNI (Server Name Indication). Cette option permet à plusieurs certificats TLS (Transport Layer Security)/SSL de sécuriser plusieurs domaines sur la même adresse IP. La plupart des navigateurs modernes (dont Microsoft Edge, Chrome, Firefox et Opera) prennent en charge SNI. (Pour découvrir plus d’informations, consultez Indication du nom du serveur.)
   • SSL basé sur IP : vous ne pouvez ajouter qu’une seule liaison IP SSL. Cette option permet de sécuriser une adresse IP publique dédiée avec un seul certificat TLS/SSL. Une fois la liaison configurée, suivez les étapes décrites dans Remapper des enregistrements pour SSL basé sur l’IP. SSL basé sur IP est pris en charge uniquement dans le niveau Standard ou supérieur.

6. Lorsque vous ajoutez un nouveau certificat, sélectionnez Valider pour valider le nouveau certificat.

7. Sélectionnez Ajouter.

   Une fois l’opération terminée, l’état TLS/SSL du domaine personnalisé est remplacé par Sécurisé.

   

   Un état sécurisé dans les domaines personnalisés signifie qu’un certificat fournit une sécurité. App Service ne vérifie pas si le certificat est auto-signé ou expiré, ce qui peut également entraîner l’affichage d’une erreur ou d’un avertissement par les navigateurs.

Remapper des enregistrements pour SSL basé sur l’IP

Cette étape est nécessaire uniquement pour le protocole SSL basé sur l’IP. Pour une liaison SNI SSL, passez à Tester HTTPS.

Il existe potentiellement deux modifications que vous devez apporter :

• Par défaut, votre application utilise une adresse IP publique partagée. Dès que vous liez un certificat avec IP SSL, App Service crée une adresse IP dédiée pour votre application. Si vous avez mappé un enregistrement A à votre application, mettez à jour votre registre de domaine avec cette nouvelle adresse IP dédiée.

  La page Domaine personnalisé de votre application est mise à jour avec la nouvelle adresse IP dédiée. Copiez cette adresse IP, puis remappagez l’enregistrement A à cette nouvelle adresse IP.

• Si vous avez une liaison SNI SSL à <app-name>.azurewebsites.net, remappez les mappages CNAME pour les pointer vers sni.<app-name>.azurewebsites.net à la place. (Ajoutez le préfixe sni.)

Test du protocole HTTPS

Dans différents navigateurs, accédez à https://<your.custom.domain> pour vérifier que votre application s’affiche.

Votre code d’application peut inspecter le protocole via l’en-tête x-appservice-proto. L’en-tête a la valeur de http ou https.

Si votre application permet de voir les erreurs de validation de certificat, vous utilisez probablement un certificat auto-signé. Si ce n’est pas le cas, vous avez probablement laissé des certificats intermédiaires lorsque vous avez exporté votre certificat vers le fichier .pfx.

Forum aux questions

Comment puis-je m’assurer que l’adresse IP de l’application ne change pas lorsque j’apporte des modifications à la liaison de certificat ?

Votre adresse IP entrante peut être modifiée lorsque vous supprimez une liaison, même si cette liaison est une IP SSL. Ce comportement est particulièrement important lorsque vous renouvelez un certificat déjà dans une liaison SSL IP. Pour éviter toute modification de l’adresse IP de votre application, procédez comme suit :

1. Chargez le nouveau certificat.
2. Liez le nouveau certificat au domaine personnalisé souhaité sans supprimer l’ancien certificat. Cette action remplace la liaison plutôt que de supprimer l’ancienne.
3. Supprimez l’ancien certificat.

Puis-je désactiver la redirection forcée de HTTP vers HTTPS ?

Par défaut, App Service force une redirection des requêtes HTTP vers HTTPS. Pour désactiver ce comportement, consultez Configurer les paramètres généraux.

Comment modifier les versions TLS minimales de l’application ?

Votre application autorise TLS 1.2 par défaut. Les normes du secteur telles que PCI DSS recommandent ce niveau TLS. Pour appliquer différentes versions de TLS, consultez Configurer les paramètres généraux.

Comment gérer la terminaison TLS dans App Service ?

Dans App Service, un arrêt TLS se produit au niveau des équilibreurs de charge réseau. Toutes les requêtes HTTPS accèdent donc à votre application en tant que requêtes HTTP non chiffrées. Si votre logique d’application doit vérifier si les requêtes utilisateur sont chiffrées, inspectez l’en-tête X-Forwarded-Proto.

Des guides de configuration spécifiques au langage, tels que le guide de configuration Linux Node.js, vous montrent comment détecter une session HTTPS dans le code de votre application.

Automatiser des tâches à l’aide de scripts

Azure CLI (Interface de ligne de commande Azure)

Lier un certificat TLS/SSL personnalisé à une application web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Contenu connexe

• Utiliser un certificat TLS/SSL dans votre code dans Azure App Service
• Forum aux questions sur la création ou la suppression de ressources dans Azure App Service