Azure Web App, est une solution complète d’hébergement de vos applications Web. Grâce a elle, vous pourrez facilement exécuter vos applications et les exposer sur l’internet.
Et cela peut être parfois une difficulté d’exposer son site sur Internet (nom de domaine, certificats SSL, …).
Nous allons voir ensemble comment Azure WebApp nous simplifie la vie en matière de gestion des certificats avec Azure Service Managed Certificats.
App Service Managed Certificate
Ce service est assez nouveau (en GA depuis mai 2021) et pourtant, j’ai découvert cela très récemment et c’est vraiment très intéressante !
En effet, cette solution permet de prendre en mains rapidement de multiples scénarios de sécurisation TLS de vos applications web :
- Certificat gratuit managé par Azure,
- Certificat privé payant managé par azure,
- Certificat importé depuis un keyvault,
- Téléchargement manuel des certificats (publique et privés).
Je vais m’attarder principalement sur la première option. Celle-ci est en effet particulièrement interessante pour réaliser un simple site web hébergé sur Azure Web App avec un nom de domaine personnalisé et son certificat managé par Azure !
Créer un certificat managé App Service gratuit
A l’instar de Let’s Encrypt, vous pouvez laisser la plateforme Azure gérer votre certificat à votre place. Vous pourrez alors le configurer et tout simplement oublier que vous l’avez fait. Azure Service Managed Certificate s’occupera pour vous de le renouveler avant expiration.
Le certificat d’une durée de validité de 6 mois, sera généré par le partenaire de Microsoft Azure : Digicert. Azure Managed Certificate s’occupera de le renouveler 45 jours avant l’expiration de celui-ci, sans aucune action de votre part.
Prérequis
Cette option n’est possible que pour les applications disponibles sur l’internet public (tout comme Let’s Encrypt).
Cela parait logique, mais ça ne coûte rien de le rappeler, il sera nécessaire de pré-configurer votre application pour utiliser votre nom de domaine personnalisé.
Vous l’aurez du coup compris, cela ne s’applique qu’à partir du Tier Basic (B1), voici alors un rappel des fonctionnalités qui seront disponibles à ce niveau tarifaire.
Configuration dans le portail Azure
Pour configurer votre certificat public managé par Azure, vous pouvez le faire simplement depuis le portail Azure.
Rendez-vous dans le blade « TLS/SSL settings (preview) » de votre Web App.
Je préfère vous le montrer depuis cet écran encore en preview, en effet ce sera plutôt cette expérience qui restera à l’avenir (et bien meilleure que celle présente).
Cliquez ensuite sur « Add certificate ». Une nouvelle fenêtre apparait, vous demandant quel type de certificat vous souhaitez ajouter :
Sélectionnez ici « Create App Service Managed Certificate », puis sélectionnez le nom de domaine personnalisé de votre application :
Cliquez ensuite sur « Validate » puis « Create ».
Le certificat est ensuite généré et stocké dans la plateforme Azure pour que vous puissez l’ajouter dans les Bindings SSL de votre application.
Comment se passe le renouvellement ?
Je vous l’ai dis, ensuite vous pourrez simplement oublier votre certificat et vous concentrer sur le code de l’application. Azure Managed Certificate s’occupera de renouveler le certificat auprès de son partenaire 45 jours avant l’expiration de celui-ci. Chaque certificat aura une durée de validité de 6 mois.
Conclusions
Très facile à mettre en oeuvre, Azure Managed Certificates est vraiment un compagnion à ne pas oublier dans vos déploiements d’Azure Web App en public.
Ici je n’ai exploré que la gestion du certificat publique gratuit, mais les autres options (dont certaines existaient déjà avant) permettent de mettre en oeuvre des solutions plus personnalisées pour la gestion de vos certificats (PKI privée, enrollement manuel, …).
Il n’y a vraiment plus aucune raison de ne pas exposer son application Azure Web App sécurisée par SSL avec son domaine personnalisé…
Kevin BEAUGRAND 