English
Français

Blog of Denis VOITURON

for a better .NET world

ARTICLES BONNES PRATIQUES A PROPOS

Certificat SSL pour une App Services Azure

Posted on 2020-01-29

Dans un article précédent, je vous présentais comment créer un certificat SSL gratuit via Lets’Encrypt.

Le principal (ou le seul) problème à Let’s Encrypt est que le certificat à une durée de vie de maximum 3 mois. Ce qui signifie que vous devez le renouveller et l’installer manuellement ou automatiquement très régulièrement.

Pour éviter cela il est nécessaire d’acheter un certificat SSL dont la date d’expiration peut aller jusqu’à plusieurs années.

Secure web site

Plusieurs étapes sont nécessaire pour créer et installer un certificat SSL dans Azure.

1. Créer un CSR

Une demande de signature de certificat (CSR), est un message reprenant tous les données nécessaires pour demander un certificat d’identité numérique. Plusieurs outils existent pour faire ce message, mais, sous Windows, le plus simple est d’utiliser l’outil gratuit DigiCertUtil.exe.

Create CSR

Indiquez bien tous les domaines et sous-domaines que vous souhaitez certifier. Attention que le prix du certificat dépend généralement du nombre de sous-domaines. L’utilisation de l’astérisque indique que c’est un nombre indéterminé de sous-domaine (le prix est évidemment plus important).

2. Demander d’approuver le certificat

Pour cela, il faut choisir une autorité certifiante, telle que Verisign, Globalsign ou encore Digicert. C’est ce dernier que j’ai choisi.

Après avoir créé un compte, il faut importer (coller) le message CSR et compléter un écran de contacts.

3. Vérification de votre identité

Vous devez prouver que vous êtes bien le propriétaire des noms de domaines domandés. En fonction de l’autorité certifiante, la technique de vérification peut varier : email, téléphone, fichier sur le serveur, accès au DNS.

Le plus simple est souvent cette dernière méthode où il suffit de créer une clé TXT avec un identifiant reconnu par l’autorité, dans les enregistrements DNS du nom de domaine.

Exemple:

@ 1800  IN A   32.216.219.89
@ 10800 IN TXT "fk1234wjk4hsjlh0y3v30ntwwbxtw41b"

Une fois le record TXT créé pour tous mes noms de domaines, j’appuie sur le bouton Check pour lancer la demander d’approbation.

Quelques secondes plus tard, vous pouvez télécharger le certificat approuvé par cette autorité (par exemple, au format p7b).

4. Exporter au format PFX

Azure supporte un certificat au format PFX, ce qui est rarement un format proposé directement par le certificateur. L’utilitaire DigiCertUtil.exe va encore nous aider pour le convertir :

Export to PFX

Lors de l’exportation au format PFX, vous devrez fournir un mot de passe.

5. Installer le certificat dans Azure

Finalement, vous pouvez ainsi importer ce fichier PFX dans le portail Azure.

  1. Rendez-vous dans les configurations de votre Web App Service, dans la section TLS/SSL settings.
  2. Via l’onglet Private Key Certificates, appuyez sur le bouton Upload Certificate.
  3. Une fois le certificat chargé dans Azure, revenez sur l’onglet Bindings.
  4. Appuyez sur le bouton Add TLS/SSL Binding et sélectionnez votre domaine et votre cerificat. Le TLS/SSL type doit être sur *SNI SSL.

Azure binding SSL

C’est tout.

Langues

EnglishEnglish
FrenchFrançais

Suivez-moi

Articles récents

© Denis Voituron