Azure App ServiceでカスタムドメインとSSL証明書を使う

 

今回はApp ServiceでカスタムドメインおよびカスタムドメインのSSL化までを試してみました。

実施した内容は以下の通りになります。

      • Azure DNSでのCNAME,TXTレコード登録
      • カスタムドメイン追加
      • SSL証明書の登録

設定作業はマイクロソフト様のサイトを参考に実施しています。

https://docs.microsoft.com/ja-jp/azure/app-service/app-service-web-tutorial-custom-domain#get-domain-verification-id

https://docs.microsoft.com/ja-jp/azure/app-service/configure-ssl-bindings

今回は、事前にLets’Encryptを利用して発行した証明書を利用します。

1.Azure DNSでカスタムドメインのCNAME,TXTレコードを作成する

    • 実施作業
      • App ServiceでAzure DNSのTXTレコードに登録する値を確認
      • Azure DNSでカスタムドメインのCNAME,TXTレコード登録

1)まずカスタムドメイン設定するApp Serviceでカスタムドメインのメニューを選択します。画面に表示される値をコピーします。

      • カスタムドメインの検証ID:TXTレコードの値
      • 割り当てられてカスタムドメインに表示されている”App Service名”.azurewebsites.net:CNAMEレコードの値

2)Azure DNSでレコードセットを追加します。該当のDNSゾーンで+レコードセットを選択。レコードセットの追加画面が表示されるので、レコードを追加します。

今回はサブドメインをwwwとした場合になります。値は先ほどApp Serviceの画面で確認した値を設定します。

    • CNAME
      • 名前:www
      • 種類:CANEM
      • TTL:変更なし(1時間)
      • 値:App Service名”.azurewebsites.net
    • TXT
      • 名前:asuid.www
      • 種類:TXT
      • TTL:変更なし(1時間)
      • 値:カスタムドメインの検証IDに表示される値

これでAzure DNSの設定は完了です。

2.App Serviceへカスタムドメインを追加する

App Serviceでカスタムドメインを追加します。

1)App Serviceでカスタムドメインを選択します。カスタムドメインの追加をクリック。カスタムドメイン名を入力し検証ボタンをクリックします。

2)DNSのレコードの検証が正常に終わると下記画面が表示されます。カスタムドメインの追加をクリックします。

これでApp Serviceへのカスタムドメインの追加が終了です。

3.App Serviceのカスタムドメイン用SSL証明書を登録する

事前にPFX形式の証明書を発行している事を前提に作業を行います。

PFX形式の証明書発行については、下記記事を参照願います。

Azure Web Appsの拡張機能を使わずにLet’s Encryptで証明書を発行してOpenSSLでPFX形式へ変換してみた

1)App Serviceのカスタムドメインのメニューを開きます。先ほど追加したカスタムドメインにバンディングの追加が表示されていますので、選択します。

2)TLS/SSLバインディングの画面が表示されるので、PFX証明書の追加をクリックします。

3)秘密キー証明書の追加画面が表示されますのでPFX証明書をアップロードします。なおPFX証明書はパスワード付き証明書が必要になります。

4)TLS/SSL バインディングの画面が表示されますので、追加した証明書を選択しバインディングを追加します。

これで、SSL化は終了です。

なお、HTTPSのみのアクセスとする場合はカスタムドメインの画面に、HTTPSのみという項目がありますので、こちらをオンにします。

4.【追加】App Serviceのカスタムドメイン用SSL証明書にAzure Key Vaultを利用する

App Serviceのカスタムドメイン用証明書をAzure Key Vaultからインポートして利用する事が出来ます。

Azure Key VaultでのSSL証明書登録については下記記事に記載しています。

Azure Key Vaultで証明書期限切れ前にMail通知する

App ServiceのTLS/SSLの設定メニューで秘密キー証明書(PFX)を選択すると下記画面が表示されます。Key Vault証明書のインポートを選択する事で、Key Vaultに保管しているカスタムドメイン用証明書をインポートする事が出来ます。。

証明書自体がインポートになります。Azure Key Vaultに保管された証明書を参照するのではない点は注意が必要です